Балансировщик взлом 2025: $128M Эксплойт и системные риски DeFi раскрыты

Взлом Balancer 2025 года потряс экосистему DeFi, когда эксплойт на сумму $128 миллионов был направлен на V2 компонуемые стабильные пулы, выявив уязвимости в управлении ликвидностью и поставив острые вопросы о ограничениях аудита и совместимости протоколов.

Взлом Balancer: $128 миллионов выведено из пулов V2

3 ноября 2025 года Balancer V2 подвергся разрушительному взлому, потеряв $128 миллионов на семи сетях, включая Ethereum ($100 миллионов), Arbitrum ($8 миллионов), Base ($3.95 миллионов), Sonic ($3.4 миллионов), Optimism ($1.57 миллионов), Polygon ($230,000) и другие. Атака использовала ошибку проверки доступа в функции manageUserBalance, позволив хакерам выдавать себя за владельцев комиссий и выводить такие активы, как WETH, wstETH и osETH. Это не первый инцидент Balancer — предыдущие эксплойты подчеркивают риски долгоживущих контрактов, TVL теперь сократился вдвое до $1.2 миллиарда, а форкнутые протоколы столкнулись с массовым оттоком средств.

• Пробой вниз потерь: $128M общий; 90% — из компонуемых стабильных пулов.
• Затронутые активы: WETH, wstETH, osETH, frxETH, rsETH, rETH.
• Влияние на сети: 7 сетей; 27 форков под угрозой.

Механика атаки: ошибка контроля доступа и имитация

Эксплойт был основан на дефектной валидации в контракте Хранилища Balancer, где злоумышленники создавали вредоносные инструкции для обхода проверки владения. Используя UserBalanceOpKind.WITHDRAW_INTERNAL, они обманывали систему, осуществляя несанкционированные выводы, манипулируя обратными вызовами для проведения свопов без разрешения. Фирмы безопасности, такие как PeckShield, подтвердили отсутствие утечки приватных ключей — это была чисто уязвимость умного контракта, эксплуатирующая взаимосвязанные пулы для быстрого вывода средств. Этот «эффект бабочки» распространился на форкнутые протоколы, усилив системные риски модели компонуемости DeFi.

Системные риски: 27 форков и мульти-сетевой эффект

Уязвимость Balancer V2 затронула 27 форкнутых протоколов, повлияв на Ethereum, Berachain и другие, вызвав экстренные меры, такие как остановка сетей и вывод позиций. Berachain приостановил свою сеть для хардфорка, отключил мосты и прекратил депозиты USDe, а Sonic заморозил кошельки хакеров. Инцидент выявил пробелы в аудите — несмотря на проверки Certora и OpenZeppelin — сочетая приватность с масштабируемостью и подогревая споры о децентрализации против защиты пользователей. При TVL более $150 миллиардов подобные эксплойты могут вызвать обеспечение на сумму $1B+, подчеркивая хрупкость DeFi.

Реакция индустрии: остановки, аудиты и споры

Взлом вызвал немедленные действия:

• Остановки сетей: экстренный форк Berachain и заморозка кошельков Sonic.
• Вывод позиций: Lido вывел незатронутые активы.
• Расследования: PeckShield и Decurity изучают уязвимость.

Продолжаются споры о «цене децентрализации»: наследники Hal Finney и аналитики утверждают, что остановки подрывают доверие, в то время как другие хвалят защиту пользователей. Адрес хакера, связанный с $128M, продолжает отмывание через Mixero, с $17M обменом на ETH/USDC.

Исторический контекст: наследие уязвимостей Balancer

Balancer, пионер AMM с 2017 года, сталкивался с множеством эксплойтов, включая слив $600K в 2022 и потери $5M в 2021, несмотря на аудиты. Ошибка V2, обнаруженная в контракте 2021 года, демонстрирует риски долгоживущего кода, откатывая DeFi на 6–12 месяцев по мнению экспертов. Форкнутые протоколы, такие как VELODROME и Solidly, сталкиваются с аналогичными угрозами, подчеркивая двоякую природу компонуемости.

Глубокие размышления: ограничения аудита и дилемма DeFi

Взлом выявил:

• Недостатки аудита: даже проверки несколькими фирмами не выявляют крайние случаи.
• Риски компонуемости: взаимосвязанные пулы усиливают влияние одной уязвимости.
• Децентрализация против безопасности: остановки спасают средства, но ставят под сомнение идеалы.

Это требует модульных архитектур, мониторинга в реальном времени и ZK-доказательств для проверяемого доступа.