5年間で6回の事故、損失は100 millionsを超える、老舗DeFiプロトコルBalancerのハッキング被害の歴史
Chainfeeds ガイド:
傍観者にとって、DeFiは新しい社会実験であり、参加者にとって、DeFiのハッキングは高価な教訓です。
出典:
TechFlow
見解:
TechFlow:Balancer公式は事件発生後すぐに声明を発表し、V2プールに影響を及ぼす可能性のある脆弱性攻撃を発見したことを認め、エンジニアリングおよびセキュリティチームが優先的に調査を進めていると述べました。さらに、より多くの情報が得られ次第、検証結果と今後の対応策を公表するとしています。同時に、チームは盗まれた資産の20%をホワイトハット報酬として提供し、資金回収を図る意向を表明、期限は48時間としました。この対応は迅速でしたが、公式的な印象が強く、コミュニティの不安を完全には払拭できませんでした。DeFiのベテランユーザーにとって、Balancerのハッキングはほぼ周期的なニュースとなっています。2020年の設立以来、かつて柔軟なマーケットメイカーとして称賛されたこの老舗プロトコルは、5年間で6回のセキュリティ事故を経験し、ほぼ毎年ハッカーの標的となっています。2020年6月、BalancerはデフレトークンSTAの処理における脆弱性により約52万ドルの損失を被りました。攻撃者はSTAの送金時に自動で1%の手数料がバーンされる特性を利用し、dYdXから10.4万ETHを借りてプール内で24回のループ取引を行い、プール内のSTAを使い果たし、最後には1weiだけ残し、極端に不均衡な価格でETH、WBTC、LINK、SNXを引き出しました。この事件はBalancerにとって初の大きな挫折となり、複雑なトークン互換性設計におけるプロトコルの脆弱性を露呈しました。その後数年間、Balancerは度重なるセキュリティ事件に見舞われました。2023年3月にはEuler Financeの攻撃に巻き込まれ、約1190万ドルの損失を出しました。当時、Eulerは1.97億ドルのフラッシュローン攻撃を受け、Balancerのbb-e-USDプールがEuler eTokenを保有していたため、関連資金がEulerに移され、プールのTVLの65%が失われました。チームは緊急でプールを凍結しましたが、損失は回復できませんでした。同年8月には、V2プールが「丸め誤差」脆弱性の攻撃を受け、攻撃者はBoosted Poolの精度のズレを利用してBPT供給量の計算異常を引き起こし、不正なレートで資産を引き出しました。Balancerは8月22日に事前警告を出し、ユーザーに資金撤退を呼びかけていましたが、5日後にハッカーが攻撃を成功させ、約210万ドルの損失が発生しました。9月にはDNSハイジャック事件が発生し、ハッカーはソーシャルエンジニアリングでレジストラEuroDNSを突破し、balancer.fiドメインを乗っ取り、ユーザーをフィッシングサイトに誘導、Angel Drainerの悪意あるコントラクトで承認送金を誘発しました。この事件はスマートコントラクトの脆弱性ではありませんが、Web3プロトコルが従来のインターネットセキュリティ層で脆弱であることを示しました。2024年6月にはBalancerのフォークプロジェクトVelocoreがハッキングされ、680万ドルの損失が発生しました。攻撃はCPMMプール設計のオーバーフロー脆弱性が原因で、Balancer型アーキテクチャのシステミックリスクを浮き彫りにしました。2025年11月の今回の攻撃は、これまでで最も深刻なものです。セキュリティ企業DecurityとDefimon Alertsは、脆弱性がV2プロトコルのmanageUserBalance関数のアクセス制御ロジックの誤りに起因すると指摘しています。通常、システムは呼び出し元がアカウント所有者かどうかを検証すべきですが、コードは誤ってmsg.senderとユーザー定義パラメータop.senderが等しいかどうかを検証していました。op.senderはユーザーが任意に入力できるため、攻撃者は身分を偽装し、権限検証を回避してWITHDRAW_INTERNAL操作を実行し、金庫から任意のアカウント資産を直接引き出すことができました。つまり、誰でも任意のアカウント所有者になりすまして出金できるということです。このような基本的なアクセス制御のミスが、5年間稼働してきた成熟したプロトコルで発生したことは衝撃的です。歴史を振り返ると、Balancerの複雑さと急速なイテレーションがセキュリティ境界を曖昧にし続けてきたことが分かります。最大8種類のトークンをカスタムウェイトで扱えるプール設計は柔軟性を高めましたが、攻撃面も指数関数的に拡大しました。機能追加と技術的負債の蓄積により、Balancerのコード構造はまるで脆い積み木の塔のようです。今回の脆弱性が示したのは、単なるコントラクトのミスだけでなく、DeFiの発展経路に潜む懸念です。ナラティブや資本の熱狂の中で、コードの堅牢性が二の次になっているように見えます。
免責事項:本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。
こちらもいかがですか?
なぜ現在の暗号資産市場の操作難易度は「地獄級」なのか?
90%以上の暗号資産は本質的に投機によって動かされていますが、純粋な投機は永久機関ではありません。市場参加者が興味を失ったり、継続的に利益を得ることができなくなった場合、投機需要は減少します。
ドルが復活 — そしてbitcoinは危機に陥る可能性
米国ドル指数(DXY)が100を超えて急騰したことで、仮想通貨市場に激震が走り、流動性やリスクセンチメントに対する懸念が再燃しています。DXYが強含む中、アナリストらはbitcoinの次のトレンドがドルの上昇が持続するか、それとも失速するかに左右されると警告しています。
なぜ連邦準備制度理事会(Fed)の370億ドルの流動性注入にもかかわらず、暗号資産市場は上昇していないのか
米連邦準備制度理事会(FRB)によるここ数年で最大規模の流動性供給は、仮想通貨市場を押し上げることに失敗しました。リバースレポや市場の不安感によって相殺され、同セクターは依然として不安定な綱引き状態にとどまっています。
より多くの資金、より低い価格:流動性とbitcoinの乖離を解説
Bitcoinが$104,376まで下落したのは、パンデミック以降最大級の世界的な流動性拡大があったにもかかわらずです。Federal Reserveは先週、1,250億ドルの翌日物レポを供給し、中国のM2マネーサプライは過去最高の47.1兆ドルに達し、これは米国の2倍以上となっています。
暗号資産価格
もっと見る
