Balancer หนึ่งในโปรโตคอลการเงินไร้ศูนย์กลางที่ใหญ่ที่สุดโดยมีมูลค่าการล็อกทั้งหมดกว่า $750 ล้านใน total value locked กลายเป็นเหยื่อรายล่าสุดของการโจมตีที่ซับซ้อนในวงการคริปโต การวิเคราะห์ข้อมูลบนบล็อกเชนเผยว่า ผู้โจมตีสามารถกวาดล้างสินทรัพย์ดิจิทัลมูลค่าระหว่าง $70 ล้านถึง $88 ล้านจากคลังของโปรโตคอล ในการโจมตีที่ประสานงานกันซึ่งมีผลต่อเครือข่ายบล็อกเชนหลายเครือข่าย
การละเมิดครั้งนี้ ซึ่งเกิดขึ้นเมื่อวันที่ 3 พฤศจิกายน 2025 นับเป็นอุบัติเหตุทางความปลอดภัยครั้งใหญ่ที่สามสำหรับ Balancer ทำให้เกิดความกังวลใหม่เกี่ยวกับความเปราะบางของโครงสร้างพื้นฐานทางการเงินไร้ศูนย์กลาง และความท้าทายต่อเนื่องในการรักษาความปลอดภัยระบบสมาร์ทคอนแทรคที่ซับซ้อน
ข้อมูลบล็อกเชนโดย CoinDesk แสดงว่าเงินที่ถูกขโมยมีทั้ง StakeWise Staked ETH (osETH) จำนวนประมาณ 6,850 ETH ที่ stakeed, 6,590 Wrapped Ether (WETH), และ 4,260 Lido Wrapped Staked ETH (wstETH) สินทรัพย์เหล่านี้ถูกย้ายจากที่อยู่คลังของ Balancer ไปยังกระเป๋าเงินที่สร้างใหม่ในสิ่งที่นักวิจัยความปลอดภัยบรรยายว่าเป็นการโจมตีที่คิดวิเคราะห์และดำเนินการอย่างดีเยี่ยม
บริษัทความปลอดภัย PeckShield รายงานว่าการโจมตียังคงดำเนินต่อไปในหลายโซ่ที่มีการปรับใช้ Balancer โดยมูลค่าความเสียหายที่ใกล้เคียง $88 ล้าน การโจมตีนี้มีผลกระทบหลักกับ Balancer เวอร์ชัน 2 (V2) ที่ปรับใช้บน Ethereum Sonic Polygon และเครือข่าย Base ซึ่งแสดงถึงความเข้าใจที่ซับซ้อนของผู้โจมตีต่อโครงสร้างหลายโซ่ของโปรโตคอล
ผู้ให้บริการวิเคราะห์บล็อกเชน Cyvers ประเมินว่ามีธุรกรรมที่น่าสงสัยถึง $84 ล้านในหลายโซ่ที่เกี่ยวข้องกับการโจมตีของ Balancer ในขณะที่แหล่งที่มาอื่น ๆ ระบุตัวเลขใกล้เคียง $70 ล้าน ความไม่ตรงกันของการสูญเสียที่รายงานสะท้อนถึงความต่อเนื่องของการโจมตี และความท้าทายในการติดตามสินทรัพย์ในหลายเครือข่ายบล็อกเชน
การเปิดเผยช่องโหว่ทางเทคนิค
ตามการวิเคราะห์เบื้องต้นจากนักวิจัยด้านความปลอดภัย การโจมตีได้ใช้ประโยชน์จากข้อบกพร่องสำคัญในฟังก์ชัน "manageUserBalance" ของ Balancer ข้อบกพร่องนี้เกิดจากการควบคุมการเข้าถึงในกลไกการตรวจสอบ โดยเฉพาะในส่วนประกอบ validateUserBalanceOp
ข้อบกพร่องทำให้ผู้โจมตีสามารถผ่านการตรวจสอบความปลอดภัยโดยการจัดการวิธีที่ระบบตรวจสอบผู้ส่งธุรกรรม ภายใต้การทำงานปกติ ฟังก์ชันควรตรวจสอบอย่างเข้มงวดว่าผู้ส่งข้อความตรงกับผู้ส่งในปฏิบัติการ แต่ความเปราะบางนี้ทำให้ฝ่ายที่ไม่ได้รับอนุญาตสามารถดำเนินการถอนเงินภายในผ่าน UserBalanceOpKind.WITHDRAW_INTERNAL โดยไม่ได้รับอนุญาต
ข้อบกพร่องทางเทคนิคนี้หมายความว่าผู้โจมตีสามารถเรียกการถอนเงินจากสมาร์ทคอนแทรค ของ Balancer แม้ว่าจะขาดสิทธิ์ที่จำเป็น เป็นการละเมิดรูปแบบความปลอดภัยพื้นฐานของโปรโตคอล
เข้าใจโครงสร้างคลังของ Balancer
เพื่อให้ตระหนักถึงความร้ายแรงของการโจมตีครั้งนี้ จำเป็นต้องเข้าใจ โครงสร้างคลังเฉพาะของ Balancer ซึ่งต่างจากการแลกเปลี่ยนแบบกระจายที่แต่ละสระจัดการโทเคนของตนเอง Balancer V2 ได้ริเริ่มการออกแบบที่ปฏิวัติซึ่งทุกโทเคนจากทุกสระ ถูกถือครองในสมาร์ทคอนแทรคเดียวที่เรียกว่าคลัง
สถาปัตยกรรมนี้ ที่ริเริ่มในปี 2021 แยกบัญชีโทเคนออกจากตรรกะของสระทำให้สระนั้นง่ายและมีประสิทธิภาพมากขึ้น ในขณะที่การออกแบบนี้นำเสนอข้อได้เปรียบที่สำคัญ - รวมถึงต้นทุนแก๊สที่ลดลง และประสิทธิภาพการใช้ทุนที่ดีขึ้น แต่ยังสร้างเป้าหมายที่มีมูลค่าสูงสำหรับโจมตีที่ซับซ้อน การละเมิดคลังที่ประสบความสำเร็จสามารถส่งผลกระทบต่อหลายสระพร้อมกัน อย่างที่เคยแสดงโดยเหตุการณ์ล่าสุดนี้ เครื่องมือรักษาความปลอดภัยและกระบวนการตรวจสอบที่เข้มงวดขึ้นสามารถระบุช่องโหว่ที่ซับซ้อนหลายชั้น ก่อนที่จะถูกนำไปใช้ประโยชน์
ธรรมชาติของการโจมตีแบบหลายเชนนี้ยังแสดงให้เห็นถึงปัญหาด้านความปลอดภัยที่เพิ่มขึ้นเมื่อโปรโตคอล DeFi ขยายตัวผ่านเครือข่ายบล็อกเชนหลายเครือข่าย การปรับใช้เชนใหม่แต่ละครั้งทำให้พื้นผิวของการโจมตีเพิ่มขึ้นหลายเท่าและต้องปรับมาตรการรักษาความปลอดภัยอย่างรอบคอบให้เข้ากับสภาพแวดล้อมบล็อกเชนและสถาปัตยกรรมเครื่องเสมือนที่แตกต่างกัน
ความคิดสุดท้าย
สำหรับผู้ใช้ Balancer, ความสำคัญเร่งด่วนคือการติดตามการประกาศของโปรโตคอลสำหรับคำแนะนำในการรักษาความปลอดภัยของกองทุน ชุมชน DeFi มักจะรวมตัวกันรอบๆ โปรโตคอลที่ได้รับผลกระทบ โดยมีนักวิจัยด้านความปลอดภัย โครงการคู่แข่ง และองค์กรในอุตสาหกรรมมักจะเสนอความช่วยเหลือในการติดตามเงินที่ถูกขโมยและระบุช่องโหว่
อุตสาหกรรมคริปโตกำลังจับตามองอย่างใกล้ชิดเพื่อดูว่า Balancer จะตอบสนองต่อเหตุการณ์ด้านความปลอดภัยครั้งใหญ่ครั้งที่สามนี้อย่างไร โปรโตคอลจะดำเนินการตามมาตรการรักษาความปลอดภัยที่เข้มงวดมากขึ้นหรือไม่? ผู้ใช้ที่ได้รับผลกระทบจะได้รับการชดเชยหรือไม่? และที่สำคัญที่สุด บทเรียนใดที่ระบบนิเวศ DeFi ในวงกว้างสามารถเรียนรู้เพื่อป้องกันการโจมตีในลักษณะเดียวกัน?
ในขณะที่ DeFi ยังคงเติบโตและดึงดูดการเข้าร่วมจากสถาบัน เหตุการณ์ด้านความปลอดภัยขนาดใหญ่นี้เป็นเครื่องเตือนใจอย่างชัดเจนว่าอุตสาหกรรมยังคงเผชิญกับความท้าทายทางเทคนิคที่สำคัญ คำมั่นสัญญาของการเงินแบบกระจายศูนย์ - บริการทางการเงินที่โปร่งใส ไม่มีข้อจำกัด และสามารถเข้าถึงได้ - สามารถตระหนักได้ก็ต่อเมื่อโปรโตคอลสามารถรับประกันความปลอดภัยของเงินทุนของผู้ใช้ได้
เรื่องราวที่กำลังพัฒนานี้เน้นย้ำความเป็นจริงว่าในสภาพแวดล้อม DeFi ที่เคลื่อนไหวรวดเร็วและมีเดิมพันสูง ความปลอดภัยไม่ใช่แค่ข้อกำหนดทางเทคนิค - เป็นเงื่อนไขที่จำเป็นต่อการอยู่รอดในระยะยาวของอุตสาหกรรม