Balancerは、$750M以上の総ロックバリューを持つ最大級の分散型金融プロトコルの一つであり、複雑な暗号資産の攻撃の最新の被害者となった。オンチェーンデータによれば、攻撃者は複数のブロックチェーンネットワークに影響を与える協調的な攻撃で、プロトコルのボールトから$70Mから$88M相当のデジタル資産を成功裏に引き出した。
2025年11月3日に発生したこの侵害は、Balancerにとって3度目の大規模セキュリティ事件であり、分散型金融インフラの脆弱性と、複雑なスマートコントラクトシステムをセキュアに保つ永続的な課題について新たな懸念を巻き起こしている。
CoinDeskによって分析されたブロックチェーンデータによると、盗まれた資金には約6,850StakeWise Staked ETH (osETH)、6,590 Wrapped Ether (WETH)、および4,260 Lido Wrapped Staked ETH (wstETH)が含まれている。これらの資産は、新しく作成されたウォレットに転送された。この転送は、セキュリティ研究者が計画的かつ実行力のある攻撃と説明するものである。
セキュリティ会社PeckShieldは、Balancerがデプロイされた複数のチェーンにまたがる攻撃が進行中であり、損失は$88Mに近づいていると報告している。この攻撃は主に、Ethereum、Sonic、Polygon、BaseネットワークにデプロイされたBalancerバージョン2(V2)のボールトに影響を及ぼした。攻撃者は、プロトコルのマルチチェーンアーキテクチャへの深い理解を示している。
ブロックチェーン分析プロバイダーCyversは、Balancerのエクスプロイトに関連する複数チェーンにおける疑わしい取引を最大$84Mと推測しているが、他の情報源ではその額を$70Mに近いとしている。この損失の報告の不一致は、攻撃の進行中であり、リアルタイムで複数のブロックチェーンネットワークにわたる資産を追跡する難しさを反映している。
技術的脆弱性の露出
セキュリティ研究者による予備分析によると、攻撃はBalancerの「manageUserBalance」関数の重大な欠陥を利用したものであった。この脆弱性は、関数の検証メカニズム、特にvalidateUserBalanceOpコンポーネントにおける不適切なアクセス制御から生じていた。
普通の操作下では、関数は厳密にメッセージ送信者が操作送信者と一致することを確認すべきであるが、この脆弱性により、認可されていない当事者がUserBalanceOpKind.WITHDRAW_INTERNAL操作を通じて内部バランスの引き出しを実行することができた。
これにより、攻撃者は必要な権限がないにもかかわらず、Balancerのスマートコントラクトから引き出しをトリガーすることが可能であり、プロトコルのセキュリティモデルの根本的な破壊につながった。
Balancerのボールトアーキテクチャの理解
このエクスプロイトの深刻さを十分に理解するには、Balancerの独自のボールトアーキテクチャを理解することが必要です。従来の分散型取引所が各プールでそれぞれのトークンを管理するのに対し、Balancer V2はすべてのプールのトークンを「Vault」と呼ばれる単一のスマートコントラクトにおいて保持する画期的な設計を導入しました。
このアーキテクチャは、2021年に初めて導入されましたが、トークンアカウンティングをプールロジックから分離することにより、プールをよりシンプルで効率的にしました。この設計は、ガスコストの削減と資本効率の向上という大きな利点を提供しますが、同時に洗練された攻撃者のための高価値の標的をも作り出します。このような一貫した侵害の成功により、複数のプールが同時に影響を受ける可能性があります。
市場への影響と即時の結果
エクスプロイトは即座に市場反応を引き起こしました。BalancerのネイティブBALトークンは、月曜日のピークから5%以上下落しました。このトークンの下落は、プロトコルのセキュリティ体制や、さらなる脆弱性の可能性についての投資家の懸念を反映しています。
セキュリティの専門家は、エクスプロイトのアドレスが初期の引き出し直後に盗まれた資産を統合し始め、分散型ミキサーやクロスチェーンブリッジを通じて資金洗浄を行う可能性があることを指摘しています。この行動パターンは、大規模なDeFiエクスプロイトに関する以前の事例とも一致しており、攻撃者が素早く盗まれた資金の出どころを隠すために動く一般的な方法です。
問題のあるパターン: Balancerのセキュリティ歴史
この最新の侵害は、Balancerにとって3回目の重大なセキュリティインシデントを表し、プロトコルの歴史全体における脆弱性の懸念されるパターンを確立しています。
2020年には、Balancerは$500,000を失いました。これは、デフレ系トークンを悪用して流動性プールを攻撃した事例で、攻撃者はバーナブルERC-20トークンの扱いに関連するスマートコントラクトの仕様の不備を利用しました。この攻撃では、攻撃者がWETHや他の貴重な資産を操作し、対象のプールから引き出しました。
より最近では、2023年9月には、Balancerは$238,000の損失を被り、洗練されたDNSソーシャルエンジニアリング攻撃によって影響されました。ハッカーは、Balancerのドメイン名レジストリを管理する会社であるEuroDNSに侵入し、ユーザーを悪意のあるスマートコントラクトがあるフィッシングサイトに誘導しました。この攻撃は、DeFiプロトコルがスマートコントラクトの脆弱性だけでなく、従来のWebインフラの脆弱性とも戦う必要があることを示しています。 セキュリティツールおよび、複雑で多面的な脆弱性を悪用される前に特定できる、より厳格な監査プロセス。
この攻撃のマルチチェーンの性質は、DeFiプロトコルが複数のブロックチェーンネットワークに拡大するにつれて、セキュリティの課題が増大していることをも強調しています。各新しいチェーンの展開は攻撃の面積を拡大し、異なるブロックチェーン環境や仮想マシンアーキテクチャに合わせたセキュリティ対策の慎重な適応が必要です。
最後の考え
Balancerのユーザーにとって、今すぐの優先事項は、資金の安全性に関する指導を得るためにプロトコルの発表を監視することです。DeFiコミュニティは通常、影響を受けたプロトコルを支援し、セキュリティ研究者、競合するプロジェクト、および業界の組織が盗まれた資産の追跡や脆弱性の特定に協力することがよくあります。
より広い暗号通貨業界は、Balancerがこの3回目の大規模なセキュリティインシデントにどのように対応するかを注視しています。プロトコルは、より厳格なセキュリティ対策を実施するのでしょうか?影響を受けたユーザーに補償が行われるのでしょうか?そして最も重要なことは、同様の悪用を防ぐために、より広いDeFiエコシステムが学ぶべき教訓は何でしょうか?
DeFiが成熟し、機関投資家の参加を引き付け続ける中で、このような規模のセキュリティインシデントは、業界が依然として重大な技術的課題に直面していることを厳しく思い出させます。分散型金融の約束である透明で許可不要でアクセス可能な金融サービスは、プロトコルがユーザー資金の安全性を保証できる場合にのみ実現可能です。
この進行中の事例は、DeFiの急速に変化する高ステークスの環境において、セキュリティが単なる技術的要件ではなく、業界の長期的な存続可能性に不可欠なものであることを浮き彫りにしています。