Balancer został okradziony na ponad 120 milionów – co powinieneś zrobić?

Obecnie całkowita skradziona kwota wynosi 128,64 milionów dolarów, atak wciąż trwa.

Autor: 1912212.eth, Foresight News

Po południu 3 listopada, uznany protokół DeFi Balancer padł ofiarą poważnego ataku związanego z luką bezpieczeństwa. Atakujący, manipulując kluczowym smart kontraktem protokołu, w ciągu zaledwie kilku godzin zdołał wyciągnąć z wielu pul płynności aktywa kryptowalutowe o wartości przekraczającej 110 milionów dolarów, przenosząc je ze skarbca Balancer do portfela kontrolowanego przez atakującego. W wyniku tego incydentu cena BAL spadła do okolic 0,9 dolara, notując 24-godzinny spadek o 8,64%.

Zgodnie z danymi debank, skradzione środki obejmują 99,85 milionów dolarów z ekosystemu Ethereum, 7,95 milionów dolarów z łańcucha Arbitrum, 3,94 milionów dolarów z ekosystemu Base, 3,4 miliona dolarów z Sonic oraz 1,56 miliona dolarów z łańcucha OP.

Na godzinę 17:41 (UTC+8), według śledztwa przeprowadzonego przez SlowMist, całkowita skradziona kwota wynosi 128,64 milionów dolarów, z czego 12,86 miliona dolarów pochodzi z Berachain.

Oficjalne źródła Berachain poinformowały, że funkcje mintowania HONEY oraz pule/skarbce BEX zostały wstrzymane. Węzły walidujące zostały skoordynowane w celu zatrzymania działania sieci Berachain, aby zespół główny mógł przeprowadzić awaryjny hard fork i rozwiązać problem luki związanej z Balancer V2 na BEX.

Tak ogromna kradzież sprawiła, że wieloryb 0x0090, który nie był aktywny przez 3 lata, natychmiast zareagował i wycofał środki z Balancer.

To zdarzenie nie tylko ujawniło braki w kontroli dostępu w architekturze Balancer V2, ale także dotknęło wiele sieci blockchain, w tym Ethereum mainnet, Base, Polygon i Sonic, co spowodowało gwałtowny wzrost całkowitych strat.

Obecnie atak wciąż trwa.

Balancer został założony w 2020 roku przez Balancer Labs i jest protokołem automatycznego animatora rynku (AMM), który pozwala użytkownikom tworzyć niestandardowe pule płynności i wspiera dostosowywanie wag dla różnych aktywów. W przeciwieństwie do prostych AMM, takich jak Uniswap, Balancer kładzie większy nacisk na elastyczność i efektywność kapitałową, szczególnie w wersji V2, gdzie wprowadzono „Boosted Pools” oraz system skarbca (Vault), mające na celu optymalizację zysków i redukcję poślizgu. Podczas poprzedniej fali DeFi, TVL Balancer osiągnął 3,239 miliarda dolarów.

Obecnie TVL protokołu wynosi jedynie 678,44 milionów dolarów.

Analizy wskazują, że źródłem tego ataku była awaria kontroli dostępu w kontrakcie skarbca: atakujący wykorzystał mechanizm flash loan, fałszując uprawnienia do wyciągnięcia aktywów z Boosted Pools. Konkretnie, atakujący manipulował dostawcami stóp procentowych, omijając kontrolę autoryzacji i bezpośrednio przenosząc środki ze skarbca na zewnętrzny adres 0xAa760D53541d8390074c61DEFeaba314675b8e3f. Transakcja on-chain (hash: 0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569) pokazuje, że w ciągu kilku minut dokonano wielu transferów, obejmujących takie pochodne ETH jak WETH, osETH, wstETH, frxETH, rsETH i rETH. Ta metoda przypomina wcześniejsze ataki na DeFi, takie jak luka w kontroli dostępu w Nomad Bridge w 2022 roku, ale wielołańcuchowa implementacja Balancer spotęgowała ryzyko, prowadząc do strat międzyłańcuchowych.

Przyczyny tego ataku można doszukiwać się w historii problemów bezpieczeństwa Balancer. Protokół ten nie po raz pierwszy znalazł się w niebezpieczeństwie:

• W czerwcu 2021 roku Balancer stracił 500 tysięcy dolarów z powodu luki w smart kontrakcie;
• W sierpniu 2023 roku atak DNS hijacking spowodował odpływ 270 tysięcy dolarów.

Ostatnia drobna luka miała miejsce w październiku 2025 roku i dotyczyła manipulacji dostawcami stóp procentowych (rate providers).

Wszystkie te incydenty wskazują na słabości protokołu w zakresie kontroli dostępu i zależności zewnętrznych. Wersja V2 działa od 2021 roku, czyli prawie 5 lat, przeszła wiele audytów, testów fuzzingowych i formalnych weryfikacji, ale mimo to nie udało się całkowicie wyeliminować luk.

Hasu, dyrektor strategiczny Flashbots i doradca strategiczny Lido, napisał: „Balancer v2 został uruchomiony w 2021 roku i od tego czasu stał się jednym z najczęściej obserwowanych i forkujących smart kontraktów. To bardzo niepokojące. Za każdym razem, gdy tak długo działający kontrakt zostaje zaatakowany, (słusznie) cofa to proces adopcji DeFi o 6 do 12 miesięcy.”

Obecnie zespół Balancer wydał oświadczenie, że pule V2 mogą zawierać luki, a inżynierowie i zespół ds. bezpieczeństwa prowadzą dochodzenie w tej sprawie.

Foresight News zaleca użytkownikom natychmiastowe wycofanie środków, cofnięcie autoryzacji (np. za pośrednictwem Revoke.cash) oraz unikanie wszelkich podejrzanych linków phishingowych.