Balancer DeFi został zaatakowany i stracił ponad 110 milionów dolarów w aktywach.

• Luka w smart kontraktach opróżnia skarbce Balancer V2.
• Kradzież przekracza 110 milionów dolarów amerykańskich na wielu blockchainach.
• Audytorzy badają atak, który wykorzystał kompostowalną architekturę protokołu.

Balancer padł ofiarą kolejnego poważnego ataku, którego szacowane straty wynoszą od 110 do 116 milionów dolarów amerykańskich na różnych blockchainach. Incydent dotknął głównie skarbców V2 protokołu oraz pule płynności, wykorzystując lukę w interakcjach smart kontraktów.

Zgodnie z analizą on-chain opublikowaną przez ekspertów, w tym analityka Adi (@AdiFlips), atak rozpoczął się od wdrożenia złośliwego kontraktu, który manipulował wewnętrznymi wywołaniami Vault podczas inicjalizacji puli. Ta manipulacja pozwoliła atakującemu obejść mechanizmy bezpieczeństwa i przeprowadzić nieautoryzowane wymiany pomiędzy połączonymi pulami, opróżniając środki w ciągu kilku minut.

Oto wszystko, co musisz wiedzieć o ataku na Balancer:

1. Atak był wymierzony w skarbce V2 Balancer oraz pule płynności, wykorzystując lukę w interakcjach smart kontraktów. Wstępna analiza badaczy on-chain wskazuje na złośliwie wdrożony kontrakt, który… pic.twitter.com/udAM4hB0OD

— Adi (@AdiFlips) 3 listopada 2025

Wektor ataku obejmował błędy autoryzacji oraz nieprawidłową obsługę callbacków, otwierając furtki do manipulacji saldami i kaskadowych swapów. Kluczowa transakcja w sieci Ethereum — oznaczona jako 0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569 — przekierowała aktywa do nowego portfela kontrolowanego przez atakującego. Środki zostały następnie skonsolidowane i prawdopodobnie przesłane do usług mieszających lub mostów cross-chain, co utrudnia ich śledzenie.

Kompostowalna architektura Balancer, w której pule intensywnie ze sobą współdziałają, ostatecznie spotęgowała podatność. Podobne ataki dotknęły już innych automatycznych animatorów rynku (AMM), zwłaszcza gdy w grę wchodzą tokeny deflacyjne lub mechanizmy równoważenia puli.

Audytorzy tacy jak PeckShield i Nansen prowadzą szczegółowe dochodzenia kryminalistyczne i potwierdzili, że atak miał charakter czysto techniczny, bez dowodów na przejęcie kluczy prywatnych. Straty obejmują duże ilości WETH, wstETH, osETH, frxETH, rsETH oraz rETH — z Ethereum jako najbardziej dotkniętym, z około 70 milionami dolarów amerykańskich wyprowadzonych środków.

Wpływ ataku objął również sieci Base, Sonic i Polygon, co łącznie dało około 9 milionów dolarów amerykańskich dodatkowych strat. Protokoły pochodne, takie jak Beets.fi oraz Berachain, zostały naruszone z powodu użycia podobnych komponentów kodu.

Token BAL spadł o 5% do 8% po potwierdzeniu ataku. Do tej pory Balancer nie opublikował szczegółów dotyczących środków zaradczych ani potencjalnych rekompensat dla użytkowników, podczas gdy zalecenia awaryjne obejmują natychmiastowe wycofanie środków, cofnięcie uprawnień oraz aktywne monitorowanie dotkniętych portfeli.