Balancer було вкрадено понад 120 millions, що вам слід робити?

Chainfeeds Вступ:

На даний момент загальна сума викрадених коштів становить 128.64 мільйона доларів, атака все ще триває.

Джерело статті:

Foresight News

Думка:

Foresight News: 3 листопада вдень відомий DeFi-протокол Balancer зазнав масштабної атаки через серйозну вразливість безпеки. Зловмисники, маніпулюючи основним смарт-контрактом протоколу, менш ніж за кілька годин перевели з декількох пулів ліквідності криптоактиви на суму понад 110 мільйонів доларів, безпосередньо перемістивши кошти з казначейства Balancer на контрольований гаманець. За даними DeBank, сума викрадених коштів в екосистемі Ethereum досягла 99.85 мільйона доларів, у мережі Arbitrum втрати склали 7.95 мільйона доларів, на Base було викрадено 3.94 мільйона доларів, на Sonic — близько 3.4 мільйона доларів, а в мережі Optimism — 1.56 мільйона доларів. Згідно з результатами відстеження SlowMist, загальна сума викрадених коштів ще більше зросла до 128.64 мільйона доларів, додавши 12.86 мільйона доларів з екосистеми Berachain. Під впливом цієї події ціна BAL впала до близько 0.9 долара, добове падіння перевищило 8%. Після інциденту команда Berachain офіційно призупинила функції карбування HONEY та роботу пулу BEX і казначейства, а також координувала з валідаторами зупинку роботи мережі, щоб основна команда могла провести терміновий хардфорк для усунення вразливості, пов’язаної з Balancer V2. Після появи новини, адреса кита 0x0090, яка не проявляла активності три роки, негайно вивела кошти з Balancer, що свідчить про швидке поширення панічних настроїв. Ця подія не лише виявила фундаментальні недоліки Balancer V2 у контролі доступу, а й зробила архітектуру кросчейн-деплойменту каталізатором для посилення ризиків, охопивши такі мережі, як Ethereum, Base, Polygon, Sonic тощо. На момент публікації атака все ще триває, а команди безпеки намагаються заморозити відповідні адреси. Balancer був заснований у 2020 році компанією Balancer Labs і є одним із ключових AMM (автоматизований маркет-мейкер) протоколів ранньої DeFi-екосистеми, основною особливістю якого є можливість створення кастомізованих мультиактивних пулів ліквідності. На відміну від Uniswap та інших протоколів з механікою пар активів, Balancer дозволяє користувачам встановлювати різні вагові комбінації активів, підвищуючи ефективність використання капіталу. У 2021 році було запущено версію V2 з Boosted Pools і Vault, що мало на меті спрямувати невикористані кошти пулу на отримання доходу, зменшити сліппедж і підвищити ефективність. Однак така складна архітектура також збільшила ризики, пов’язані з контролем доступу та зовнішніми залежностями. Аналіз показує, що основною причиною цієї атаки стала втрата контролю доступу до контракту казначейства. Зловмисники використали механізм flash loan, підробили права доступу для вилучення активів із Boosted Pools, обійшли перевірку авторизації та безпосередньо перевели кошти на зовнішню адресу 0xAa760D53541d8390074c61DEFeaba314675b8e3f. Дані з блокчейну (хеш транзакції 0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569) показують, що атака була здійснена за кілька хвилин через серію транзакцій, які охоплювали такі основні ETH-деривативи, як WETH, osETH, wstETH, frxETH, rsETH, rETH тощо. Такий спосіб експлуатації вразливості схожий на інцидент з Nomad Bridge у 2022 році, коли також було обійдено логіку контролю доступу. Кросчейн-архітектура Balancer призвела до ширшого масштабу впливу та збільшення розміру збитків. Цей інцидент не є поодиноким, а є кульмінацією довготривалих проблем безпеки Balancer. З моменту запуску V2 у 2021 році протокол пройшов кілька раундів аудиту, fuzz-тестування та формальної верифікації, але все одно регулярно виявляв вразливості. У червні 2021 року через проблему зі смарт-контрактом було втрачено 500 тисяч доларів, у серпні 2023 року через DNS-атаку — 270 тисяч доларів, а у жовтні 2025 року стався ще один дрібний інцидент, пов’язаний із маніпуляціями “rate providers”. Серія інцидентів свідчить про структурну вразливість Balancer у питаннях контролю доступу та зовнішніх залежностей. Ця атака змушує знову замислитися про ризики старіння DeFi-протоколів — кодова база, яка працює багато років і часто форкається, у складному мультичейн-середовищі стає легкою мішенню для хакерів. Стратегічний директор Flashbots і радник Lido Hasu зазначив: «З моменту запуску Balancer V2 у 2021 році це один із найчастіше форканих смарт-контрактів. Кожного разу, коли такий ключовий протокол зламують, це відкидає весь DeFi-сектор на 6–12 місяців назад». Наразі команда Balancer підтвердила наявність вразливості у V2-пулі та спільно з компаніями з кібербезпеки розслідує інцидент.