اختراق بالانسير 2025: استغلال الثغرة وكشف المخاطر النظامية في التمويل اللامركزي

حادثة الاختراق في Balancer عام 2025 أرسلت موجات صادمة عبر نظام DeFi البيئي، مع استغلال بقيمة $128 مليون استهدف تجمعات الاستقرار القابلة للتكوين من الإصدار الثاني، مما أبرز الثغرات في إدارة السيولة وأثار تساؤلات عاجلة حول محدودية التدقيق وتوافقية البروتوكولات.

اختراق Balancer: $128 مليون تم سحبه من تجمعات الإصدار الثاني

في 3 نوفمبر 2025، تعرض Balancer الإصدار الثاني لاختراق مدمر، حيث فقد $128 مليون عبر سبع سلاسل، بما في ذلك إثيريوم ($100 مليون)، Arbitrum ($8 مليون)، Base ($3.95 مليون)، Sonic ($3.4 مليون)، Optimism ($1.57 مليون)، Polygon ($230,000)، وغيرها. استغل الهجوم فحص وصول غير صحيح في وظيفة manageUserBalance، مما سمح للهاكرز بانتحال شخصية مالكي الرسوم لسرقة الأصول مثل WETH، wstETH، و osETH. هذه ليست المرة الأولى التي يتعرض فيها Balancer لحادث—حيث تؤكد الاستغلالات السابقة مخاطر العقود طويلة العمر، مع انخفاض إجمالي القيمة المقفلة الآن إلى 1.2 مليار دولار، وتواجه البروتوكولات المنقسمة تدفقات خارجة هائلة.

• تحليل الخسارة: الإجمالي؛ 90% من تجمعات الاستقرار القابلة للتكوين.
• الأصول المتأثرة: WETH، wstETH، osETH، frxETH، rsETH، rETH.
• تأثير السلسلة: 7 شبكات؛ 27 نسخة مهددة.

آلية الهجوم: فشل في التحكم بالوصول وانتحال الشخصية

اعتمد الاستغلال على فحص غير صحيح في عقد الخزينة الخاص بـ Balancer، حيث أنشأ المهاجمون تعليمات خبيثة لتجاوز فحوصات الملكية. باستخدام UserBalanceOpKind.WITHDRAW_INTERNAL، خدعوا النظام لسحب الأصول بشكل غير مصرح به، مع التلاعب في ردود الاتصال لتنفيذ عمليات تبادل دون إذن. أكدت شركات أمنية مثل PeckShield عدم تسرب مفاتيح خاصة—كان خللًا في العقود الذكية بحت، استغل تجمعات مترابطة لتصريف سريع. هذا “تأثير الفراشة” انتشر إلى البروتوكولات المنقسمة، مما زاد من المخاطر النظامية في نموذج التوافقية الخاص بـ DeFi.

المخاطر النظامية: 27 نسخة وتأثير متعدد السلاسل

انتشرت ثغرة Balancer الإصدار الثاني إلى 27 بروتوكول منقسم، وأثرت على إثيريوم، Berachain، وغيرها، مما دفع إلى استجابات طارئة مثل إيقاف السلاسل وسحب المراكز. أوقفت Berachain شبكتها لعمل تحديث رئيسي، معطلة الجسور ومانعة إيداعات USDe، في حين أوقف Sonic محافظ الهاكرز. كشفت الحادثة عن ثغرات في التدقيق—رغم مراجعات من Certora وOpenZeppelin—مزيج بين الخصوصية والقدرة على التوسع، وأثارت نقاشات حول اللامركزية مقابل حماية المستخدم. مع إجمالي قيمة مقفلة تزيد عن $128M مليار، يمكن أن تؤدي مثل هذه الاستغلالات إلى مطالبات بضمانات تتجاوز 1 مليار دولار، مما يبرز هشاشة نظام DeFi.

رد فعل الصناعة: إيقافات، تدقيقات، و جدل

أدى الاختراق إلى إجراءات فورية:

• إيقاف السلاسل: التحديث الطارئ لـ Berachain وتجميد محافظ Sonic.
• سحب المراكز: قامت Lido بسحب المقتنيات غير المتأثرة.
• تحقيقات: تحقق PeckShield وDecurity في الثغرة.

تدور نقاشات حول “تكلفة اللامركزية”، حيث يجادل ورثة Hal Finney والمحللون بأن الإيقافات تقوض الثقة، بينما يمدح آخرون حماية المستخدمين. لا يزال عنوان الهاكر، المرتبط بـ 128 مليون دولار، يواصل غسيل الأموال عبر Mixero، مع $150 تمت المبادلة إلى ETH/USDC.

السياق التاريخي: إرث ثغرة Balancer

يعد Balancer، رائد AMM منذ 2017، قد واجه العديد من الاستغلالات، بما في ذلك استغلال 2022 $17M و2021 $600K ، على الرغم من التدقيقات. يكشف خلل الإصدار الثاني، في عقد عام 2021، عن مخاطر الكود طويل العمر، مما يعيد نظام DeFi من 6 إلى 12 شهرًا وفقًا للخبراء. تواجه بروتوكولات منقسمة مثل Velodrome وSolidly تهديدات مماثلة، مما يسلط الضوء على سلاح التوافقية ذو الحدين.

تأملات أعمق: حدود التدقيق ومعضلة DeFi

يكشف الاختراق عن:

• قصور التدقيق: حتى المراجعات من شركات متعددة تفشل في اكتشاف الحالات الحدية.
• مخاطر التوافقية: تجمعات مترابطة تزيد من خطورة الثغرات الفردية.
• اللامركزية مقابل الأمان: الإيقافات تحفظ الأموال لكنها تتحدى المبادئ.

يدعو ذلك إلى تصاميم معيارية، مراقبة فورية، وإثباتات ZK للتحقق من الوصول.