Balancer, один з найбільших децентралізованих фінансових протоколів із понад $750 мільйонами загальної заблокованої вартості, став останньою жертвою складного кібератаки. Дані з блокчейну показують, що зловмисники успішно вилучили від $70 мільйонів до $88 мільйонів цифрових активів з сховищ протоколу в скоординованому нападі, який вплинув на кілька блокчейн-мереж.
Напад, що стався 3 листопада 2025 року, став третім за величиною інцидентом з безпеки для Balancer, викликавши нові побоювання щодо вразливості децентралізованої фінансової інфраструктури та постійних викликів щодо забезпечення безпеки складних систем смарт-контрактів.
Дані з аналізу блокчейну, проведені CoinDesk, свідчать, що вкрадені кошти включають приблизно 6,850 StakeWise Staked ETH (osETH), 6,590 Wrapped Ether (WETH) і 4,260 Lido Wrapped Staked ETH (wstETH). Ці активи були переведені з адреси контракту сховища Balancer до новоствореного гаманця, що експерти з безпеки описують як прораховану й добре виконану атаку.
Фірма з безпеки PeckShield повідомила, що атака триває на кількох блокчейнах, де Balancer розгорнутий, і що передбачені втрати досягають $88 мільйонів. Експлуатація в основному вплинула на версії Balancer 2 (V2) сховища, розгорнуті на Ethereum, Sonic, Polygon та Base мережах, демонструючи складне розуміння атакуючим архітектури протоколу з мультиланцюгами.
Постачальник аналітики блокчейну Cyvers оцінив до $84 мільйонів підозрілих транзакцій на декількох ланцюгах, пов'язаних з експлуатацією Balancer, тоді як інші джерела вказують на суму, ближчу до $70 мільйонів. Різниця в повідомлених втратах відображає тривалий характер атаки та виклик відстежування активів на багатьох блокчейнах у реальному часі.
Технічні уразливості
За попереднім аналізом від дослідників з безпеки, атака експлуатувала критичний вразливий момент у функції Balancer "manageUserBalance". Вразливість виникла через неналежний контроль доступу в механізмі перевірки функції, зокрема в компоненті validateUserBalanceOp.
Цей дефект дозволив зловмисникам обійти перевірки безпеки, маніпулюючи способом перевірки системою відправників транзакцій. У нормальній роботі функція повинна суворо перевіряти, що відправник повідомлення співпадає з відправником операції. Однак, уразливість дозволяла несанкціонованим особам здійснювати внутрішні зняття балансу через операцію UserBalanceOpKind.WITHDRAW_INTERNAL без належної авторизації.
Цей технічний недогляд означав, що зловмисники могли викликати зняття коштів зі смарт-контрактів Balancer, попри відсутність необхідних дозволів - це фундаментальне порушення безпекової моделі протоколу.
Розуміння архітектури сховищ Balancer
Щоб повністю оцінити серйозність цієї експлуатації, важливо зрозуміти унікальну архітектуру сховищ Balancer. На відміну від традиційних децентралізованих бірж, де кожен пул керує своїми токенами, Balancer V2 започаткував революційний дизайн, де всі токени з усіх пулів зберігаються у єдиному смарт-контракті під назвою "Сховище".
Ця архітектура, вперше представлена у 2021 році, відокремлює облік токенів від логіки пулу, роблячи пули простішими та ефективнішими. Хоча цей дизайн забезпечує значні переваги - включаючи знижені вартості газу та покращену капітальну ефективність - він також створює ціль для складних атак.
Вплив на ринок та негайні наслідки
Експлуатація викликала негайні ринкові реакції. Токен Balancer, BAL, упав на більше ніж 5% від свого піку в понеділок, коли інформація про порушення поширилася криптовалютними ринками. Зниження токену відображає стурбованість інвесторів щодо безпеки протоколу та потенціалу подальших уразливостей.
Експерти з безпеки спостерігали, що адреса експлуататора почала консолідувати вкрадені активи одразу після початкових зняттів, викликаючи побоювання щодо можливого відмивання грошей через децентралізовані міксери або крос-ланцюгові мости. Така поведінка відповідає попереднім масштабним експлуатаціям в DeFi, коли зловмисники швидко ховають походження вкрадених коштів перед їхнім обналиченням або спробою вести перемовини щодо повернення.
Зростаюча загроза: історія безпеки Balancer
Ця остання атака є вже третім великим інцидентом із безпеки для Balancer, встановлюючи загрозливу тенденцію вразливостей через історію протоколу.
У 2020 році Balancer втратив $500,000, коли зловмисник експлуатував два пули ліквідності з використанням дефляційного токену. Хак скористався тим, як смарт-контракти Balancer обробляли не стандартні ERC-20 токени, зокрема токени, що спалюють частину кожного переказу. Зловмисник маніпулював цим механізмом, щоб осушити WETH та інші цінні активи з уражених пулів.
Більш нещодавно, у вересні 2023 року, Balancer зазнав втрати у $238,000 через хитромудру DNS соціальну атаку. Хакери проникли у EuroDNS, компанію, що керує реєстром доменних імен Balancer, і перенаправили користувачів на фішинговий вебсайт із шкідливими смарт-контрактами. Ця атака показала, що DeFi-протоколи стикаються з загрозами не тільки з боку вразливостей смарт-контрактів, але й з боку традиційних слабких місць веб-інфраструктури.
За кілька тижнів до тієї DNS-атаки, у серпні 2023 року Balancer розкрив критичну уразливість у деяких його пулах ліквідності, що призвела до атак флеш-позики, які осушили приблизно $1-2 мільйони. Незважаючи на зусилля протоколу, щоб попередити спільноту та забезпечити більшість коштів, фірма з безпеки PeckShield встановила, що фактичні втрати значно перевищили початкові оцінки.
Безпека DeFi: Виклик для індустрії
Труднощі Balancer відображають ширші виклики безпеки, що стоять перед сектором DeFi. Протокол працює в індустрії, де 87% компаній зазнали DNS атак у 2021 році, та де вразливості у смарт-контрактах продовжують призводити до втрат в мільярди доларів щорічно.
Складність DeFi протоколів - з їх складними взаємодіями смарт-контрактів, операціями між ланцюгами та механізмами автоматичних маркет-мейкерів - створює численні вектори атаки. Навіть протоколи, які проходять ретельний аудит, можуть містити невідкриті вразливості, як це продемонструвала остання експлуатація Balancer, націлена на фундаментальну функцію контролю доступу.
Експерти з безпеки зазначають, що швидкий цикл інновацій DeFi часто випереджає найкращі практики безпеки. Нові функції та оптимізації можуть вводити вразливості, які не очевидні одразу, навіть для досвідчених аудиторів та розробників. Незареєстрована природа DeFi, хоча і дає змогу для інновацій, також означає, що як тільки вразливості виявляються, зловмисники можуть експлуатувати їх негайно без обмежень. Content: інструменти безпеки та більш суворі процеси аудиту, які можуть виявляти складні, багатогранні вразливості до того, як їх буде експлуатовано.
Багатоланцюгова природа цієї атаки також підкреслює зростаючі виклики в сфері безпеки, оскільки протоколи DeFi розширюються на декілька блокчейн-мереж. Кожне нове розгортання ланцюга збільшує площу атаки та вимагає ретельного адаптування заходів безпеки до різних блокчейн-середовищ та архітектур віртуальних машин.
Final thoughts
Для користувачів Balancer першочергове завдання – слідкувати за оголошеннями протоколу для отримання порад щодо безпеки коштів. Спільнота DeFi зазвичай згуртовується навколо постраждалих протоколів, до її складу входять дослідники безпеки, конкуруючі проекти та галузеві організації, що часто пропонують допомогу в відстеженні вкрадених коштів та виявленні вразливостей.
Ширша криптоіндустрія буде уважно стежити за тим, як Balancer реагує на цей третій великий інцидент безпеки. Чи буде протокол впроваджувати більш суворі заходи безпеки? Чи будуть компенсовані постраждалі користувачі? І найголовніше, які уроки може отримати ширший екосистема DeFi для запобігання подібних атак?
Оскільки DeFi продовжує розвиватися і залучати інституційну участь, інциденти безпеки такого масштабу служать суворими нагадуваннями про те, що галузь досі стикається зі значними технічними викликами. Обіцянка децентралізованих фінансів - прозорі, бездозвільні та доступні фінансові послуги - може бути реалізована лише за умови, якщо протоколи можуть гарантувати безпеку коштів користувачів.
Ця розвиваюча історія підкреслює реальність, що в швидкоплинному, високоризиковому середовищі DeFi безпека не є лише технічною вимогою - це екзистенційна необхідність для довгострокової життєздатності галузі.