Balancer был взломан, украдено более 120 миллионов, что вам следует делать?

Chainfeeds Введение:

В настоящее время общая сумма украденных средств составляет 128.64 миллионов долларов, атака продолжается.

Источник:

Foresight News

Мнение:

Foresight News: 3 ноября днем старейший DeFi-протокол Balancer подвергся серьезной атаке из-за критической уязвимости в безопасности. Злоумышленники, манипулируя основным смарт-контрактом протокола, всего за несколько часов вывели из различных пулов ликвидности криптоактивы на сумму более 110 миллионов долларов, напрямую переведя средства из казначейства Balancer на контролируемый ими кошелек. Согласно данным DeBank, в экосистеме Ethereum было украдено 99.85 миллионов долларов, в сети Arbitrum — 7.95 миллионов долларов, на Base — 3.94 миллиона долларов, на Sonic — около 3.4 миллиона долларов, в сети Optimism — 1.56 миллиона долларов. По данным отслеживания SlowMist, общая сумма украденных средств увеличилась до 128.64 миллионов долларов, включая 12.86 миллионов долларов из экосистемы Berachain. В результате этого события цена токена BAL упала до примерно 0.9 доллара, снижение за 24 часа превысило 8%. После инцидента команда Berachain официально приостановила выпуск HONEY и работу пулов BEX и казначейства, а также координировала остановку работы сети валидаторами, чтобы основная команда могла провести экстренный хардфорк и устранить уязвимость, связанную с Balancer V2. После появления новости, адрес кита 0x0090, не проявлявший активности три года, немедленно вывел средства из Balancer, что свидетельствует о быстром распространении панических настроений. Этот инцидент не только выявил фундаментальный недостаток Balancer V2 в системе контроля доступа, но и показал, что архитектура кроссчейн-развертывания стала катализатором увеличения рисков, затронув такие сети, как Ethereum, Base, Polygon, Sonic и другие. На момент публикации атака продолжается, а команды по безопасности пытаются заморозить связанные адреса. Balancer был основан в 2020 году компанией Balancer Labs и является одним из ключевых AMM (автоматизированный маркет-мейкер) протоколов ранней DeFi-экосистемы, специализируясь на настраиваемых пулах ликвидности с несколькими активами. В отличие от Uniswap и других протоколов с механизмом сравнения одной пары активов, Balancer позволяет пользователям задавать различные весовые комбинации активов, повышая эффективность использования капитала. В версии V2, выпущенной в 2021 году, были внедрены Boosted Pools и система Vault, направленные на направление неиспользуемых средств в пулах в доходные каналы, снижение проскальзывания и повышение эффективности. Однако такая сложная архитектура также увеличила риски, связанные с контролем доступа и внешними зависимостями. Анализ показал, что основной причиной атаки стала неработающая система контроля доступа в контракте казначейства. Злоумышленники использовали механизм flash loan, подделали права доступа и вывели активы из Boosted Pools, обойдя проверку авторизации и напрямую переведя средства на внешний адрес 0xAa760D53541d8390074c61DEFeaba314675b8e3f. Согласно данным on-chain (хэш транзакции 0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569), атака была проведена за несколько минут с множеством переводов, затронувших такие основные ETH-деривативы, как WETH, osETH, wstETH, frxETH, rsETH, rETH. Такой способ эксплуатации уязвимости схож с инцидентом Nomad Bridge в 2022 году, причиной которого также стало обходное нарушение логики контроля доступа. Кроссчейн-архитектура Balancer расширила масштабы воздействия и увеличила размер потерь. Этот инцидент не является изолированным случаем, а представляет собой концентрированное проявление долгосрочных проблем безопасности Balancer. С момента запуска V2 в 2021 году протокол прошел через множество аудитов, fuzz-тестов и формальных верификаций, но уязвимости продолжали регулярно появляться. В июне 2021 года из-за проблемы со смарт-контрактом было потеряно 500 тысяч долларов, в августе 2023 года из-за DNS-атаки — 270 тысяч долларов, а в октябре 2025 года произошел небольшой инцидент, связанный с манипуляциями “rate providers”. Многочисленные инциденты указывают на структурную уязвимость Balancer в части контроля доступа и внешних зависимостей. Эта атака вновь заставляет задуматься о рисках устаревания DeFi-протоколов — кодовая база, работающая много лет и часто форкающаяся, в условиях сложной мультичейн-среды становится легкой мишенью для хакеров. Директор по стратегии Flashbots и советник Lido Hasu отметил: «С момента запуска Balancer V2 в 2021 году это один из самых часто форкаемых смарт-контрактов. Каждый раз, когда такой ключевой протокол взламывают, это отбрасывает процесс внедрения DeFi-индустрии на 6–12 месяцев назад». В настоящее время команда Balancer подтвердила наличие уязвимости в пулах V2 и совместно с компаниями по безопасности расследует инцидент.