1,28 мільярда доларів був вкрадений, 27 форк-протоколів «постраждали», подія Balancer дала три великі уроки для Децентралізованих фінансів

Автор: Френк, PANews

3 листопада небо світу DeFi було розірване. У старому DeFi протоколі Balancer адреса сейфу зазнала аномально великого переказу коштів. Впродовж наступних кількох годин вся галузь стала свідком реального катастрофи, збиткові кошти з початкових 70 мільйонів доларів зросли до 116,6 мільйонів доларів, і зрештою стабілізувались на вражаючій цифрі 128,64 мільйона доларів.

За величезними збитками стоїть те, що протокол Balancer V2 має до 27 «форк-протоколів», які також стикаються з системним ризиком, пов'язаним з цим давнім смертельним уразливістю.

Balancer V2 зазнав хакерської атаки, 128 мільйонів доларів США було вкрадено

3 листопада компанія з безпеки на блокчейні, Phaidon, звернула увагу на аномальні трансакції в Balancer V2. Велика кількість упакованого ефіру (WETH) та ліквідних стейкінгових деривативів (wstETH, osETH) була переведена в новий гаманець.

Невдовзі команда Balancer швидко підтвердила, що насправді відбулася атака на блокчейн. Завдяки постійному моніторингу блокчейну, остаточна сума збитків склала 128 мільйонів доларів. Команда Balancer заявила, що область атаки була суворо обмежена на V2 комбінованих стабільних пулів (Composable Stable Pools). Їхня новіша архітектура V3 та інші типи V2 пулів (такі як вагові пули) не зазнали жодного впливу.

Станом на 4 листопада команда Balancer все ще не оголосила про конкретні причини атаки. Проте, згідно з аналізом аналітиків Nansen, вважається, що корінь цієї атаки полягає в «дефектній перевірці контролю доступу».

Зловмисник надіслав зловмисно сконструйовану команду до скарбниці, викликавши функцію manageUserBalance протоколу V2. Ця команда обманула внутрішню бухгалтерію протоколу, змусивши її повірити, що «протокол тільки що отримав величезний платіж», і що «право власності на цей платіж належить зловмиснику». Потім зловмисник викликав звичайний запит на зняття коштів, перевівши величезні активи на свої рахунки.

З технічної точки зору, успіх цієї атаки не залежав від сили технічних можливостей, а від того, що зловмисник майстерно використав логічні вразливості в протоколі. Деякі аналітики вважають, що хакер залишив журнали консолі під час атаки, і з огляду на звички залишення слідів, цей хакер, ймовірно, скористався великими моделями штучного інтелекту для написання та перевірки коду, що дозволило виявити недоліки, які пропустили люди-аудитори.

27 форк-протоколів «потрапили під роздачу», кожен ланцюг запустив надзвичайні заходи

На фоні хитромудрих атак хакерів, справжнє розчарування для галузі полягає в тому, що Balancer V2 раніше проходив 11 аудитів у чотирьох різних безпекових компаніях: OpenZeppelin, Trail of Bits, Certora та ABDK, але все ж не зміг виявити цю вразливість.

Найбільш іронічно, що цей «комбінований стабільний пул» (Composable Stable Pool), який був використаний у цьому випадку, проходив спеціальний аудит від Certora та Trail of Bits у вересні 2022 року.

А як багаторічний проект, який, здається, пройшов перевірку ринку, протокол Balancer V2 став основою для розвитку аж 27 «форк-протоколів», усі з яких успадкували цю логічну вразливість Balancer V2. Для хакерів ця вразливість схожа на універсальний ключ, який дозволяє в будь-який момент відкривати сховища цих «форк-протоколів», що мають таку ж дефектну кодову базу.

Насправді, ця хакерська атака поширилася на кілька блокчейнів. Найбільше постраждав основний протокол Balancer V2 ( в основній мережі Ethereum ), очікувані збитки досягають 100 мільйонів доларів. Наступним є протокол BEX Berachain, збитки можуть скласти 12,86 мільйона доларів. Крім того, під час цієї атаки постраждали протоколи ще семи публічних блокчейнів, зокрема Arbitrum, Base, Sonic та ін.

Стикаючись із цією безпідставною катастрофою, індустрія стикається з дилемою: чи варто дотримуватись «код є законом» та децентралізованого фундаменталізму, спостерігаючи за тим, як кошти користувачів викрадають? Чи варто вжити централізовані заходи втручання для захисту користувачів?

Найбільш постраждалий Berachain прийняв найрадикальніше і найбільш суперечливе рішення: координувати валідаційні вузли і призупинити роботу всієї мережі. Завдяки відкату транзакцій, Berachain врятував понад 12 мільйонів доларів активів, які опинилися під загрозою на біржі BEX.

Звичайно, це також неминуче викликало суперечки в спільноті, деякі ставлять під сумнів: «Хіба це не завдасть остаточної шкоди остаточності та безпеці вашого «ланцюга»? Зараз це більше нагадує приватний ланцюг, а не публічний блокчейн, чи не так?» На це анонімний співзасновник Berachain Smokey the Bera відповів: «Я вважаю, що ваші побоювання є обґрунтованими, але я вірю, що надзвичайні обставини вимагають надзвичайних заходів — ми вже бачили подібні дії в минулому на прикладах Sui та Hyperliquid.»

Більшість членів спільноти все ж підтримують це рішення, адже негативні наслідки від знищених фондів можуть бути значно більшими, ніж так звані вірування в «децентралізацію».

Sonic мережа активувала механізм «заморожування облікових записів на ланцюзі», заблокувавши гаманець зловмисника та 3,4 мільйона доларів США, не зупиняючи роботу мережі. Вузли перевірки Polygon почали активно «перевіряти» транзакції з адреси зловмисника.

Неодноразово виникали інциденти з вразливостями, TVL зменшився вдвічі, що спричинило кризу довіри.

Історія розвитку Balancer насправді є історією постійної гри з складними логічними вразливостями. Раніше Balancer неодноразово зазнавав хакерських атак, з 2020 по 2025 рік сталося принаймні п'ять випадків вразливостей. Ці методи атак варіювалися від найперших атак з використанням миттєвих позик до більш складних вразливостей посилених басейнів V2.

Однак у минулих випадках суми збитків зазвичай коливалися від десятків тисяч до 2 мільйонів доларів. Для Balancer ці минулі атаки більше нагадують можливість виправлення вразливостей. Проте ця катастрофа з оцінковими збитками понад 100 мільйонів доларів безпосередньо підірвала довіру та впевненість ринку в Balancer.

Згідно з даними Defillama, після нападу TVL Balancer впав з 776 мільйонів доларів до 345 мільйонів доларів, що становить зниження більш ніж на половину. Особливо TVL Balancer V2 зменшився на 230 мільйонів доларів, а також численні форки протоколу Balancer V2 вивели свої кошти з пулів, зокрема TVL Gaming DEX впав на 87% за один день, а TVL Beets DEX знизився на 48%.

Lido також зазначив, що хоча протокол Lido не постраждав, з обережності він вивів свої непостраждалі позиції в Balancer.

Насправді, такі форк-протоколи, як Gaming DEX, пізніше заявили, що не зазнали фактичного впливу, а просто вивели більшість коштів з міркувань безпеки.

Для DeFi-протоколів довіра важливіша за золото, особливо на тлі численних атак у минулому. Станом на 4 листопада, за офіційною інформацією, StakeWise DAO вже через виклик контракту мультипідпису повернув понад 20 мільйонів доларів, втрачених від хакерів. Це також призвело до зниження загальної суми збитків до 98 мільйонів доларів. Водночас, переміщення активів хакерів все ще триває, і вже більше половини з них було обміняно на ETH.

Ця атака на 128 мільйонів доларів стала дорогою обов'язковою лекцією в процесі зростання DeFi і підняла три гострі питання.

1. Коли 11 аудитів «золотого стандарту» не змогли виявити смертельну вразливість, яка приховувалася протягом двох років, то в чому сенс «аудиту»?

2. Коли «передача коду» стає нормою, а вразливість базового протоколу може миттєво знищити 27 похідних протоколів, чи є комбінованість DeFi інновацією чи прокляттям?

3. Коли нові публічні блокчейни змушені вибирати між «децентралізацією» та «рятуванням користувачів», чи поступилася ідея «код є законом» «практичній централізації»?

У майбутньому безпека DeFi, можливо, більше не буде залежати лише від більшої кількості аудитів, а скоріше від простішого, більш надійного дизайну протоколів, який в корені зменшує площу атаки. А для тих користувачів, які втратили довіру та капітал під час цього інциденту, ціна такого усвідомлення надзвичайно висока.