Après une exploitation en novembre sur les Composable Stable Pools, l’équipe de Balancer v3 a utilisé l’incident pour réviser les défenses et renforcer la sécurité au niveau du protocole.
Summary
De l’exploitation du 3 novembre à un modèle de sécurité proactif
Le 3 novembre, une exploitation a frappé les Composable Stable Pools sur V2, incitant Balancer à agir de manière décisive. V3 est resté complètement indemne, mais l’équipe a vu une opportunité de renforcer son modèle de sécurité et de préparer le protocole pour l’avenir contre des classes entières d’attaques.
L’exploitation CSP a révélé un vecteur d’attaque qui existait depuis plus de quatre ans avant que quiconque ne le remarque. De plus, des faiblesses similaires ont été exploitées plus tard sur d’autres protocoles, montrant que le schéma était largement passé inaperçu dans l’industrie et forçant une réévaluation générale des hypothèses défensives.
La sécurité traditionnelle a tendance à être réactive : trouver un bug, le corriger, puis passer à autre chose. Cependant, cette approche laisse des vulnérabilités inconnues intactes, y compris des vecteurs d’attaque qui peuvent rester cachés pendant encore quatre ans avant d’être découverts par des adversaires.
Concevoir V3 pour éliminer des classes entières d’exploitations
L’équipe a conclu que la meilleure réponse était de supprimer des catégories entières d’exploitations potentielles en limitant le protocole à des cas d’utilisation légitimes et économiquement significatifs. Si une opération spécifique n’a pas de raison valable d’exister, elle ne devrait pas être possible sur la chaîne.
L’architecture V3 reflète déjà cette philosophie. Son architecture centrée sur le coffre centralise les soldes de jetons, la comptabilité des frais et la gestion des BPT dans un système unique, fortement audité. Cela dit, ces choix éliminent également de nombreuses surfaces d’attaque potentielles qui pourraient être exploitées par des acteurs hostiles.
Grâce à cette conception, la vulnérabilité de l’arrondi spécifique qui a permis l’exploitation du 3 novembre n’existe pas dans V3. Le résultat est simple : aucun pool V3 n’a été impacté par l’incident, malgré la gravité de l’attaque sur l’infrastructure V2.
Renforcer Balancer V3 par une réévaluation approfondie de la sécurité
Même avec ce bilan impeccable, l’équipe est allée plus loin. En collaboration avec Certora, Balancer a commandé une réévaluation approfondie de nombreux contrats intelligents V3, visant à détecter et éliminer tout vecteur d’attaque possible avant qu’il ne puisse être utilisé par des acteurs malveillants.
L’audit de sécurité v3 réalisé par Certora n’a signalé aucune vulnérabilité dans les contrats V3 examinés. De plus, les résultats ont mis en évidence comment l’architecture simplifiée, qui déplace la complexité des pools individuels vers le coffre, produit un protocole plus sécurisé par conception.
Pour les lecteurs intéressés par les nuances techniques et les méthodes formelles, les résultats complets sont disponibles dans le rapport complet de Certora sur la réévaluation de la sécurité. Cependant, le résultat principal est clair : les choix architecturaux sont validés par un examen externe rigoureux.
Nouvelles barrières de sécurité pour les pools pondérés
Au-delà de l’audit réussi, Balancer a mis en place des barrières de sécurité supplémentaires à travers les pools Pondérés et Stables. Ces protections restreignent davantage le comportement du protocole à des scénarios économiques valides et aident à neutraliser les schémas d’attaque connus au niveau des pools.
Sur les pools pondérés V3, deux barrières de sécurité spécifiques aux pools pondérés ont été introduites pour éliminer les cas d’utilisation malveillants ou pathologiques. Ensemble, elles renforcent l’objectif de conception principal de limiter les opérations à des conditions de trading réalistes et significatives.
Limites minimales de solde de jetons
La première mesure est un système de soldes minimaux de jetons qui s’applique de manière cohérente à travers tout le spectre des configurations décimales de jetons. Puisqu’atteindre des soldes extrêmement bas nécessite généralement des échanges très importants, ce mécanisme limite indirectement la taille maximale effective des échanges.
En conséquence, l’activité des pools est limitée à une plage économiquement significative. De plus, les opérations qui pousseraient autrement les soldes à des extrêmes irréalistes ne sont plus autorisées, éliminant les scénarios qui pourraient être utilisés pour manipuler les calculs ou déclencher des bugs de cas limite.
Amélioration de l’arrondi des soldes dans le coffre
La deuxième barrière est l’amélioration de l’arrondi des soldes dans le coffre et les calculs des pools. Dans le modèle précédent, certaines opérations de liquidité dans le coffre transmettaient une direction d’arrondi requise aux pools lorsque des comportements d’arrondi spécifiques étaient nécessaires.
Dans V3, les pools eux-mêmes effectuent toujours correctement l’arrondi. En particulier, la logique d’arrondi amountIn pour les échanges ExactOut a été corrigée par rapport à V2. De plus, Balancer arrondit désormais à la hausse le solde tokenIn lors des calculs internes, poussant l’arrondi déjà correct vers des résultats plus conservateurs et plus sûrs.
Limites des pools stables et le ratio d’imbalance maximal
Les pools stables V3 ont également gagné une contrainte protectrice supplémentaire conçue pour refléter comment ces marchés devraient se comporter en pratique. Cette barrière se concentre sur la prévention des déséquilibres extrêmes qui ont historiquement caractérisé les tentatives d’exploitation.
Le nouveau ratio d’imbalance maximal impose un plafond strict de 10 000:1 entre les plus grands et les plus petits soldes de jetons dans un pool stable. Bien que ces pools soient censés rester proches d’un équilibre 1:1, ce plafond généreux bloque toujours les états extrêmement biaisés observés dans les attaques connues.
L’idée principale est de confiner les pools stables à une zone opérationnelle qui reste économiquement significative. Il n’y a aucune raison valable de gérer un pool avec des ratios approchant ces extrêmes, donc le protocole interdit désormais entièrement de telles configurations, renforçant des limites de pool stables sensées.
Réévaluation des flash swaps et des scénarios impossibles
Une réalisation clé a façonné ces décisions de conception : les flash swaps sont fondamentalement différents des flash loans. Bien que les deux mécanismes offrent un accès temporaire aux actifs, les flash loans restent limités par la liquidité disponible d’un jeton sur la chaîne.
Les flash swaps, en revanche, sont principalement limités par le stockage, qui peut théoriquement atteindre 1e128 jetons, bien au-delà de l’offre circulante ou totale réelle d’un actif. De plus, cette divergence ouvre la voie à des abus lorsque les protocoles ne reconnaissent pas à quel point de tels chiffres sont irréalistes.
Il n’y a aucune justification légitime pour emprunter effectivement plus de jetons qu’il n’en existera jamais. Un tel mouvement est soit une erreur de l’utilisateur, soit une attaque pure et simple, pas un cas d’utilisation valide. Balancer v3 empêche désormais ces scénarios impossibles au niveau des pools grâce à ses barrières de sécurité améliorées.
Établir une norme plus élevée pour la sécurité des AMM
L’exploitation du 3 novembre a apporté des leçons difficiles mais précieuses à l’écosystème DeFi au sens large. La réponse de Balancer démontre un engagement à apprendre des incidents, même lorsqu’ils n’impactent pas directement la dernière version du protocole.
En choisissant une posture préventive plutôt que réactive, le projet vise à établir une nouvelle norme pour la sécurité des AMM, intégrant la robustesse dans l’architecture elle-même afin que les menaces soient bloquées avant de se matérialiser pleinement.
La sécurité pour Balancer va au-delà de la conception des contrats intelligents. En partenariat avec Hypernative, de nouveaux pools intègrent des capacités de pause étendues soutenues par une surveillance 24/7, permettant une réponse rapide lorsque des menaces sur la chaîne apparaissent et allant au-delà de l’immuabilité rigide vers un modèle de protection active.
Déploiement, documentation et perspectives d’avenir
De nouvelles usines de pools pondérés et stables, y compris des pools Stable Surge avec des barrières de sécurité élargies, sont désormais en ligne sur tous les réseaux pris en charge par V3. De plus, les développeurs peuvent consulter les spécifications techniques et les exemples dans les docs balancer v3 officielles et les dépôts associés.
La mission de Balancer reste d’accélérer l’innovation DeFi en fournissant une infrastructure sécurisée et prête pour la production pour les applications de liquidité. Les projets choisissent le protocole comme fondation pour concevoir de nouveaux types de pools et construire des dApps financières avancées sur une infrastructure renforcée et auditée.
En résumé, la combinaison de choix architecturaux, d’audits externes, de nouvelles barrières de sécurité et de surveillance en temps réel reflète un état d’esprit axé sur la sécurité. L’évolution de V3 montre comment une seule exploitation peut pousser l’écosystème vers des teneurs de marché automatisés plus forts et plus résilients.
