本文详细介绍了Balancer协议在一起事件中的反应,特别是由于非标准ERC20通货紧缩代币导致的损失。Balancer团队承诺将补偿受影响的流动性提供者,并强调未来将更加重视安全性和用户风险教育。
更新 #2:与非标准 ERC20 通货紧缩代币的事件
我们的长远愿景是 Balancer 协议成为领先的 DeFi 建筑模块,最终持有数十亿美元的资产。自我们上线以来,Balancer 的使用量激增让我们倍感谦卑,并且我们相信我们正在朝着实现这一目标的正确方向前进。
上周,用户和流动性突然激增,让我们在扩展平台时不得不迎头赶上,这在很大程度上导致了 TheGraph 和 Coingecko 的 API 的中断。即使在如此迅猛的增长下,我们也尽(并且仍然尽)最大努力让用户了解在 Balanced 成熟并成为经过战斗考验的协议时,参与其中的风险。
本帖旨在详细说明 Balancer Labs 团队在决定向在 昨天的事件 中遭受损失的所有流动性提供者进行赔偿时所经过的思考过程。此次事件只影响了约 0.36% 的 Balancer 池的总流动性,但团队对此绝对没有掉以轻心。
简而言之:
- Balancer 团队于 5 月 6 日收到了一份来自 Hex_Capital 的 漏洞赏金报告。
- 在收到报告之前,我们便清楚地意识到 Balancer 池中的通货紧缩资产可能会导致意外的套利机会和潜在的未知攻击向量。Balancer 协议并不是为了考虑所有无限可能的非标准 ERC20 代币而设计的。我们在 Discord 和我们的 文档 中不断提醒用户,转移费用代币可能会导致意外的副作用。然而,我们显然没有想到,使用通货紧缩代币一次性抽干一个池是可能的,而不需要套利者同步余额的机会。
- 漏洞赏金报告详细描述了所发生的攻击。然而,我们团队认为这不是一个 实际的攻击,因为我们认为此过程中需要的巨额资金和Gas费用过于庞大,以使通货紧缩代币的余额在一次原子交易中接近 0。
- 我们在 Balancer Labs 所有员工都是在巨大的压力下努力工作的人。不幸的是,我们难免犯错和做出错误的决策,认为攻击不可行绝对是其中之一。我们 诚挚地向 提交报告的 Ankur Agrawal(Hex_Capital)表示歉意,并将向他们授予当前漏洞赏金中可用的最高金额。
- 我们还对所有受我们协议影响的用户表示歉意,他们因成为早期用户和支持者而信任我们。在此次攻击中损失的所有资金的用户将会根据攻击发生前,他们的 BPT(池分享)所应得的每个池内代币的确切余额进行赔偿。造成此次攻击的通货紧缩代币,STA 和 STONK 的赔偿将由各自的团队进行。其他代币的赔偿将尽快由 Balancer Labs 执行,尽管我们无法保证具体日期,因为操作细节还需进一步确定。
这不是 Balancer Labs 对未来协议损失赔偿的先例
让我们明确这一点:
Balancer Labs 仅因为我们相信我们本可以并应该更好地避免这次事件,所以才会赔偿此次攻击中流动性提供者的损失,因为我们在攻击前收到了漏洞赏金报告的背景。
这并不意味着对未来任何使用 Balancer 协议时可能发生的损失设定先例。在使用以太坊和 DeFi 上的任何智能合约时都有风险。用户必须了解这一点并承担风险。
我们想强调的是,没有任何智能合约能 保证 任何它们不是跟踪目标的自定义代币的行为。任何非标准行为可能会破坏 Balancer 池,包括(但当然不限于):池中 USDC 被 USDC 合约管理员冻结,DAI 遭遇紧急关闭,MKR 经历几乎无限的供应膨胀等。
Balancer 是一个开放的、公开的智能合约基础设施,任何人都可以使用。它是完全 抗审查的 和 无需许可的:Balancer Labs 及 Balancer 社区希望保持这一状态。然而,Balancer Labs 将会审查许多警告信息和与添加自定义代币流动性有关的程序。我们将更加强调在非标准 ERC20 代币中添加流动性的风险,并在某些情况下完全在我们的用户界面中列入黑名单。
结论和下一步
我想重申我们非常抱歉让你失望,并承诺在未来做得更好。我们接下来的直接行动包括但不限于:
- 重新审视我们的漏洞赏金审核流程
- 显著提高漏洞赏金项目中不同级别漏洞的奖励金额
- 开始第三次重大审计,这次与 OpenZeppelin 进行:这在昨天的事件之前已计划好
- 希望在本周结束前,整理出一份更详细的说明,阐述赔偿过程将如何进行
