1.28 миллиард долларов был украден, 27 форк-протоколов «попали под удар», инцидент с Balancer дает три главных урока для Децентрализованных финансов

Автор: Фрэнк, PANews

3 ноября в мире DeFi произошло необычное событие: в адресе казны старейшего DeFi-протокола Balancer была зафиксирована аномальная трансакция с крупными суммами. В последующие несколько часов вся отрасль стала свидетелем катастрофы в реальном времени, потерянные средства с первоначально заявленных 70 миллионов долларов возросли до 116,6 миллионов долларов, в конечном итоге стабилизировавшись на поразительной сумме в 128,64 миллионов долларов.

За огромной суммой ущерба стоит то, что у протокола Balancer V2 есть до 27 «форков-протоколов», которые также сталкиваются с системными рисками, вызванными этой давно существующей уязвимостью.

Balancer V2 подвергся хакерской атаке, 128 миллионов долларов средств были украдены.

3 ноября компания по обеспечению безопасности в блокчейне Pi Shield заметила аномальные транзакции в хранилище Balancer V2. В大量封装以太坊 (WETH) и流动性质押衍生品 (wstETH, osETH) были переведены на новый кошелек.

Затем команда Balancer быстро подтвердила, что действительно произошло событие атаки на блокчейне, и с постоянным мониторингом на блокчейне в конечном итоге сумма ущерба достигла 128 миллионов долларов. Команда Balancer заявила, что масштабы атаки были строго ограничены на V2 составных стабильных пулах (Composable Stable Pools). Их более новая V3 архитектура и другие типы V2 пулов (например, весовые пулы) не пострадали.

По состоянию на 4 ноября команда Balancer все еще не раскрыла конкретную причину атаки. Однако, согласно анализу аналитиков Nansen, считается, что корень этой атаки заключается в «дефектной проверке контроля доступа» (faulty access-control check).

Атакующий отправил злоумышленную команду в хранилище, вызвав функцию manageUserBalance протокола V2. Эта команда обманула внутреннюю бухгалтерию протокола, заставив ее поверить, что «протокол только что получил крупный сбор», и что «право собственности на этот сбор принадлежит атакующему». Затем атакующий вызвал обычный запрос на вывод средств, переместив значительные активы на свои счета.

С технической точки зрения, успешность этой атаки не зависит от силы технических возможностей, а от того, как злоумышленник ловко использовал логические уязвимости в протоколе. Некоторые аналитики считают, что хакеры оставили журналы консоли в процессе атаки; судя по привычкам оставления следов, этот хакер с большой вероятностью использовал AI большие модели для написания и проверки кода, что позволило обнаружить недостатки, упущенные человеческими аудиторами.

27 форк-протоколов «попали под раздачу», все цепочки запустили меры экстренной помощи

По сравнению с хитроумными методами атак хакеров, настоящим разочарованием для отрасли стало то, что Balancer V2 ранее прошел 11 аудитов в четырех различных компаниях по безопасности: OpenZeppelin, Trail of Bits, Certora и ABDK, но так и не смог обнаружить этот уязвимость.

Самое ироничное, что этот конкретный компонент «可组合稳定池» ( Composable Stable Pool ), который был использован, прошел специальный аудит от Certora и Trail of Bits в сентябре 2022 года.

В качестве DeFi протокола, который существует уже много лет и, похоже, прошел испытание рынком, протокол Balancer V2 стал основой для разработки до 27 «форк-протоколов», все из которых также унаследовали эту логическую уязвимость Balancer V2. Для хакеров эта уязвимость подобна универсальному ключу, который позволяет открывать хранилища этих «форк-протоколов» с аналогичными проблемными кодами в любое время.

На самом деле, эта хакерская атака распространилась на несколько цепочек. Наиболее серьезно пострадал основной протокол Balancer V2 в основной сети Эфириума (, предполагаемые потери составляют 100 миллионов долларов. Далее следует протокол BEX на Berachain, предполагаемые потери могут составить 12,86 миллиона долларов. Кроме того, на эту атаку также оказали влияние протоколы семи публичных цепочек, таких как Arbitrum, Base, Sonic и др.

Столкнувшись с этой безосновательной катастрофой, отрасль сталкивается с двойственным выбором: следует ли придерживаться децентрализованного фундаментализма «код — это закон» и бездействовать, наблюдая за кражей средств пользователей? Или же принять централизованные меры вмешательства для защиты пользователей?

Самым пострадавшим от бедствия Berachain принял самое радикальное и спорное решение: координировать узлы проверки и приостановить работу всей сети. Путем отката транзакций Berachain спас более 12 миллионов долларов активов, находящихся под угрозой на бирже BEX.

Конечно, это также неизбежно вызвало споры в сообществе, некоторые сомневаются: «Разве это не будет полностью подрывать конечность и безопасность вашей «цепи»? Сейчас это больше похоже на частную цепь, а не на публичный блокчейн, не так ли?» На это анонимный соучредитель Berachain Smokey the Bera ответил: «Я считаю, что ваши опасения обоснованы, но я верю, что чрезвычайные ситуации требуют чрезвычайных мер — мы уже видели подобные действия в таких случаях, как Sui и Hyperliquid.»

Большинство членов сообщества все еще поддерживают это решение, в конце концов, вредные последствия сильно пострадавшего фонда могут быть гораздо более серьезными, чем так называемая вера в «децентрализацию».

Sonic цепь активировала механизм «заморозки аккаунтов на цепочке», который заблокировал кошелек злоумышленника и 3,4 миллиона долларов в нем, не останавливая сеть. Узлы проверки Polygon начали активно «проверять» транзакции с адреса злоумышленника.

Неоднократно происходили инциденты с уязвимостями, TVL сократился вдвое, что вызвало кризис доверия.

История развития Balancer на самом деле также является историей постоянной борьбы с сложными логическими уязвимостями. Ранее Balancer несколько раз подвергался хакерским атакам, с 2020 по 2025 год произошло как минимум пять инцидентов с уязвимостями. Эти методы атак варьировались от первых атак с использованием флеш-займов до более сложных уязвимостей в V2 Enhanced Pools.

Тем не менее, в прошлых случаях сумма ущерба обычно колебалась от десятков тысяч долларов до 2 миллионов долларов. Для Balancer эти прошлые атаки больше похожи на возможность исправить уязвимости. Однако эта оценка убытков более чем в 100 миллионов долларов прямо подорвала доверие и уверенность рынка в Balancer.

Согласно данным Defillama, после атаки TVL Balancer снизился с 776 миллионов долларов до 345 миллионов долларов, что составляет более чем половину. В частности, TVL Balancer V2 снизился на 230 миллионов долларов, а форки протокола Balancer V2 также массово вывели средства из пулов, при этом TVL Gaming DEX упал на 87% за один день, а TVL Beets DEX снизился на 48%.

Lido также сообщил, что хотя протокол Lido не пострадал, из соображений осторожности он вывел свои незатронутые позиции в Balancer.

На самом деле, такие форк-протоколы, как Gaming DEX, после инцидента также заявили, что они не пострадали, а просто из соображений безопасности вывели большую часть средств.

Для DeFi-протоколов доверие важнее золота, особенно на фоне истории неоднократных атак. По состоянию на 4 ноября, согласно официальным данным, StakeWise DAO уже через вызовы контрактов многофакторного соглашения вернул более 20 миллионов долларов из рук хакеров. Это также снизило сумму ущерба до 98 миллионов долларов. В то же время, передача активов хакеров продолжается, и уже более половины из них было обменяно на ETH.

Эта атака на 128 миллионов долларов стала дорогостоящим уроком в процессе роста DeFi и поставила три острых вопроса.

1. Какой смысл в «аудите», если 11 проверок «золотого стандарта» не смогли выявить скрытую смертельную уязвимость, существующую на протяжении двух лет?

2. Когда «кодовая инфекция» становится нормой, и уязвимость базового протокола может мгновенно разрушить 27 производных протоколов, является ли композируемость DeFi инновацией или проклятием?

3. Когда новые публичные блокчейны вынуждены выбирать между «децентрализацией» и «спасением пользователей», не уступила ли идеал «код — это закон» «прагматичной централизации»?

В будущем безопасность DeFi может больше не зависеть только от большего количества аудитов, а от более простого, более надежного проектирования протоколов, которое в корне уменьшает атакующую поверхность. А для тех пользователей, которые потеряли доверие и капитал в результате этого события, цена этого понимания невероятно высока.