分散型取引所バランサーは被害に遭った、2025年で最も壊滅的な暗号ハックのひとつとして、攻撃者が約128百万ドルを7つのブロックチェーンネットワークにわたって流出させ、何年ものセキュリティ監査を回避し、DeFiエコシステムに衝撃を与えた複雑なエクスプロイトである。
攻撃は11月3日早朝に始まり、当初は$70百万の損失があるように見えたが、しかし数時間以内にセキュリティ研究者のPeckShieldが攻撃の真の規模を明らかにした、Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism と Polygonネットワーク全体で$128.64百万が盗まれた。
攻撃者は迅速に行動し、6587 WETH(価値$24.46百万)、6851 osETH(価値$26.86百万)、4260 wstETH(価値$19.27百万)を新たに作成されたウォレットに転送し、盗まれた流動的ステーキングデリバティブをイーサリアムに変換し始めた。ブロックチェーンの分析プラットフォームLookonchainは報告したが、ハッカーはすぐに盗まれた資産をETHに交換し始め、分散ミキサーやクロスチェーンのブリッジを通じた潜在的なマネーロンダリングについての懸念を引き起こした。
技術的なブレークダウン: 攻撃の展開
エクスプロイトは、BalancerのV2コンポーザブル安定プールの重大な脆弱性にターゲットを絞り、プロトコルの「manageUserBalance」関数の内部に特に存在していた。セキュリティ研究者によると、欠陥のあるアクセスチェックが許可をバイパスすることを許し、内部バランスの無許可の引き出しを実行した。
On-chain分析家のAdiはXで説明したが、「不適切な認可とコールバックの処理が攻撃者により、セーフガードをバイパスし、相互に関連するプール間での不正なスワップやバランスマニピュレーションを可能にした」。プロトコルの合成設計、つまり、複数のプールが共有流動性で相互作用することが、脆弱性を増幅し、数分で複数のチェーンにまたがって資産を迅速に流出させた。
イーサリアムは損失の大部分を負った、ネットワークから約$99百万が盗まれた。Berachainが$12.86百万の損失で続き、バリデーターがネットワークを停止させ、ユーザー資金を回収するための緊急ハードフォークを実行した。Arbitrumは$6.86百万、Base $3.9百万、Sonic $3.44百万、Optimism $1.58百万、Polygon $232,000を失った。
StakeWiseの迅速な回復努力
混乱の中での希少な成功ストーリーとして、Ethereumの流動ステーキングプロトコルStakeWiseは、盗まれた資金の大部分を回収したと発表した。緊急のマルチシグトランザクションを使用して、StakeWise DAOは攻撃者のウォレットから5041 osETH(約$19百万)と13495 osGNO(価値$1.7百万)を取り戻すことに成功した。
7.46百万の盗まれたosETHは既にETHに変換されており、回収できなかったものの、返還される資産は影響を受けたユーザーに比例して返される予定とした。
contracts that, once deployed, cannot be easily modified to patch vulnerabilities.
いくつかのブロックチェーンネットワークは、エクスプロイトに対応するために前例のない行動を取りました。Berachainのバリデーターは、緊急アップデートを実行するためネットワークを停止しました。Polygonのバリデーターは、ハッカーのトランザクションを検閲しました。Sonicは、ハッカーのアカウントを凍結しゼロにする機能を導入しました。これらの介入は、暗号コミュニティ内で分権化の原則と実際のセキュリティニーズの間の緊張についての議論を引き起こしました。
著名な暗号評論家のHaseebは「小さなエコシステムは 'コード・イズ・ロー' よりも安全性とコミュニティの保護を優先すべきである」とXで観察しました。これは、スマートコントラクトの結果がエクスプロイトによるものであったとしても最終的かつ不可逆的であるべきという暗号業界の伝統的な倫理を指摘したものです。
## Final thoughts
Balancerにとって、この侵害は重要な転換点を意味します。このプロトコルはこれまでの嵐を乗り切り、その地位を維持してきましたが、劇的な低下にもかかわらず11月4日時点で[約3億5500万ドルがまだロックされています]。プラットフォームは依然として重要な取引量を処理しており、月間約28.1億ドルの取引を行い、年間約1,070万ドルの収益を上げています。
しかし、1億2800万ドルの侵害の後にユーザーの信頼を再構築するには、技術的な修正以上のものが必要でしょう。暗号コミュニティは、危機時の透明性や迅速なコミュニケーション、そしてセキュリティ脆弱性が包括的に対応されているという具体的な証拠をますます求めています。
業界の観察者は、このBalancerの事件が[DeFiプロトコルの規制監視を加速させると予想しています]。特にアメリカ合衆国では、当局が分散型金融の監視用に新しいフレームワークを開発している最中です。幅広い監査がこの侵害を防ぐのに十分でなかったという事実は、規制当局がDeFiプラットフォームに対して追加のセーフガード、保険メカニズム、または責任構造を要求するよう促すかもしれません。
今のところ、Balancerのユーザーはポジションを維持するか、より安全な代替手段に撤退するかの難しい決断に直面しています。セキュリティ研究者は脆弱性の全容を調査し続けており、ブロックチェーンフォレンジックチームは法執行機関と協力して盗まれた資金の追跡を行っています。ハッカーがBalancerのホワイトハット報奨金オファーを受け入れるか、ミキサーやクロスチェーンブリッジを通じて資金を洗浄するのに成功するかどうか、まだ不明です。
確かなのは、このエクスプロイトがDeFiの波乱に満ちた歴史にもう一つの警告的な章を加えたことであり、開発者やユーザーの両方に暗号の最先端の金融システムでは、技術の進化と同様に迅速にセキュリティも進化しなければならないことを再認識させました。