監査だけでは不十分: バランサーのハッキングがDeFiの盲点を暴露する

暗号資産市場は厳しい目覚めの時を迎えました。月曜日、攻撃者はBalancerから$120 百万以上を引き出しました。BalancerはDeFiの初期から存在するDEXで、Vault契約の精度丸めの脆弱性を悪用されました。

これが警戒すべき理由です：Balancerは10回以上の監査を通過しています。 バルクは3回、異なる企業によってレビューされました。それでも攻撃者は方法を見つけました。

技術的なエクスプロイト

GoPlus Securityの分析によると、ハッキングは一見平凡な欠陥を通じて行われました：スワップ計算における丸め誤差です。すべての操作は下方向に丸められ、徐々にトークン価格が歪んでいきました。batchSwap関数は、その後この脆弱性を増幅させ、攻撃者が戦略的にトランザクションを連鎖させることを可能にしました。クラシックな精度攻撃—セキュリティ会社が時々見逃す種類で、あまりにも単純で明白ではないからです。

Balancerは、影響を受けたのはV2 Composable Stable Poolsのみであり(、V3)は影響を受けていないと明確にしました。そして、影響を受けたプールは一時停止されました。しかし、被害は発生しました。

市場の反応

衝撃波が激しく襲った:

• 時価総額は3.2%減少 主要な暗号通貨(BTC、ETH、XRP、BNB、SOLがトップlosses)
• 12.3億ドルの清算 が派生商品市場を通じて連鎖反応を引き起こしました (11億ドルのロング清算 + 1.284億ドルのショート清算)

Stakewiseはマルチシグウォレットを通じて2000万ドル以上の盗まれた資金を回収しましたが、Lookonchainは攻撃者がETHを継続的に変換しているのを追跡しました。しかし、信頼の損害は回復の努力よりも早く広がります。

大きな視点

Banklessのライアン・ショーン・アダムスはこの感情を見事に表現しました: “バランサーに起こったことが、他の何にでも起こり得る。”

いくつかのL1は攻撃的に反応しました—Berachainのバリデーターはネットワークを停止し、Sonicはフリーズ機能を準備しました。しかし、これは別の懸念を引き起こしました：もしバリデーターが一方的にトランザクションを停止できるなら、ブロックチェーンは本当にどれだけ「分散型」なのでしょうか？

このハックは不快な真実を明らかにします: 監査は明白なバグを見つけるが、エッジケースは見つけない。 プールが数年稼働しているからといって安全であるとは限りません—ただ誰も正しい方法でテストしていないだけです。

DeFiコミュニティの信頼は打撃を受けました。しかし、それはまた、誰もに思い出させました：セキュリティは継続的なプロセスであり、一度きりのチェックボックスではありません。