Balancerで1.2億ドル以上の資金が盗まれた場合、あなたは何をすべきですか?
現在までに、総被害額は1億2,864万ドルに達しており、攻撃は継続中です。
現在の総盗難額は1.2864億ドルであり、攻撃は継続中です。
執筆:1912212.eth,Foresight News
11月3日午後、老舗DeFiプロトコルのBalancerが重大なセキュリティ脆弱性攻撃を受けました。攻撃者はプロトコルのコアスマートコントラクトを操作し、わずか数時間で複数の流動性プールから1.1億ドルを超える暗号資産をBalancerの金庫から攻撃者が管理するウォレットへ移動させました。この攻撃の影響で、BALの価格は0.9ドル付近まで下落し、24時間で8.64%の下落となりました。
debankのデータによると、盗まれた資金にはEthereumエコシステムの9985万ドル、Arbitrumチェーン上の795万ドル、Baseエコシステムの394万ドル、Sonic上の340万ドル、OPチェーン上の156万ドルなどが含まれています。
午後5時41分(UTC+8)時点で、SlowMistの調査によると、総盗難額は1.2864億ドルであり、その中にはBerachainの1286万ドルが追加されています。
Berachain公式は、HONEYのミントおよびBEXプール/金庫機能を一時停止したと発表しました。バリデータノードはBerachainネットワークの運用を一時停止するよう調整し、コアチームが緊急ハードフォークを実施してBEX上のBalancer V2関連の脆弱性問題を解決する予定です。
このような巨額の盗難事件により、3年間休眠していたクジラ0x0090が迅速に行動し、Balancerから資金を引き出しました。
今回の事件はBalancer V2アーキテクチャのアクセス制御の欠陥を露呈しただけでなく、Ethereumメインネット、Base、Polygon、Sonicなど複数のブロックチェーンネットワークにも波及し、総損失が急速に拡大しました。
現在も攻撃は継続中です。
Balancerは2020年に設立され、Balancer Labsによって開発された自動化マーケットメーカー(AMM)プロトコルであり、ユーザーがカスタマイズ可能な流動性プールを作成し、複数資産のウェイト調整をサポートします。UniswapなどのシンプルなAMMとは異なり、Balancerの設計は柔軟性と資本効率に重点を置いており、特にV2バージョンでは「Boosted Pools」や金庫(Vault)システムを導入し、これらの機能は利回りの最適化とスリッページの削減を目的としています。前回のDeFiブーム時には、BalancerのTVLは32.39億ドルに達しました。
現在、プロトコルのTVLはわずか6.7844億ドルです。
分析によると、今回の攻撃は金庫コントラクトのアクセス制御の不具合が原因です。攻撃者はフラッシュローンの仕組みを利用し、権限を偽造してBoosted Poolから資産を引き出しました。具体的には、攻撃者はレートプロバイダーを操作し、認可チェックを回避して金庫から外部アドレス0xAa760D53541d8390074c61DEFeaba314675b8e3fへ直接資金を移動させました。オンチェーントランザクションハッシュ(0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569)によると、攻撃は数分で複数回の移転を完了し、WETH、osETH、wstETH、frxETH、rsETH、rETHなどのETHデリバティブが関与しています。この手法は過去のDeFi攻撃、例えば2022年のNomad Bridgeのアクセス制御脆弱性と類似していますが、Balancerのマルチチェーン展開によりリスクが拡大し、クロスチェーンでの損失につながりました。
今回の攻撃の前因はBalancerの過去のセキュリティ問題に遡ることができます。このプロトコルは初めての危機ではありません:
- 2021年6月、Balancerはスマートコントラクトの脆弱性により50万ドルを失いました;
- 2023年8月にはDNSハイジャック攻撃により27万ドルの資金流出が発生しました。
直近の小規模な脆弱性は2025年10月に発生し、レートプロバイダー(rate providers)の操作が関与していました。
これらの事件はすべて、プロトコルのアクセス制御と外部依存における弱点を示しています。V2バージョンは2021年にローンチされてから約5年が経過し、複数回の監査、ファジングテスト、形式的検証を経てきましたが、それでも完全に脆弱性を塞ぐことはできませんでした。
Flashbots戦略ディレクター、Lido戦略アドバイザーのHasuは、「Balancer v2は2021年にローンチされて以来、最も注目され、頻繁にフォークされているスマートコントラクトの一つとなっています。これは非常に憂慮すべきことです。これほど長期間稼働しているコントラクトが攻撃されるたびに、DeFiの普及プロセスが6~12ヶ月後退することになります」と述べています。
現在、BalancerチームはV2プールに脆弱性が存在する可能性があると声明を発表し、エンジニアとセキュリティチームが本件を調査中です。
Foresight Newsはユーザーに対し、直ちに資金を引き出し、承認を取り消す(Revoke.cashなどで対応)、および疑わしいフィッシングリンクを避けるよう推奨しています。
免責事項:本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。
こちらもいかがですか?
暗号資産を忘れて—BitcoinマイナーがアメリカのAIパワーハウスに変貌
ビットコインのマイニング企業は、AIインフラへの転換に伴い株価が上昇しています。IRENによるMicrosoftとの97億ドル(9.7 billion dollars)の契約は、業界の変革を強調しています。また、米国による中国への半導体輸出規制は、国内のオペレーターに有利に働いています。
長期保有者が430億ドル相当のbitcoinを売却、しかし強気派は懸念せず
長期保有者による430億ドル規模の売却があったものの、アナリストたちは、bitcoinの最近の利益確定の動きは健全なブルマーケットの循環の一部であり、ラリーの終わりではないと主張しています。
StakeWiseがBalancerハッキングで回収した2100万ドル—これがETH価格を押し上げる可能性はあるか?
StakeWiseは、$120 millionのBalancer V2ハッキング事件の後、osETHおよびosGNOトークンで$20.7 millionの回収に成功しました。これらの資金は被害者に返還される予定であり、部分的な回収が確認されました。
GOAT NetworkのコアコントリビューターKevinとの対話:BitVM2メインネットから機関投資家向けBTC収益まで、ビットコインLayer2の次なる爆発的成長サイクルを明らかに
「眠っている」BTCの流動性をどのように活性化するか?
トレンド
もっと見る暗号資産価格
もっと見る
