# Balancer V2が巨額ハッキング被害：数時間で1億2,800万ドルが奪われる

昨日朝（日本時間）、DeFiの老舗プロジェクトBalancerが攻撃者によって1億2,800万ドルの資金を一気に奪われました。今回のハッキング手法は非常に巧妙で、攻撃者はスマートコントラクト内の脆弱性を利用してセキュリティチェックを回避し、悪意のあるコントラクトと偽造トークンをデプロイして流動性プール内の価格を精密に操作、数回の取引で小数点以下の丸め誤差を巨大な価格差に拡大させ、プールから資金を根こそぎ引き抜きました。

**最も多く抜き取られた資産**：6,587 WETH（2,450万ドル）、6,851 osETH（2,690万ドル）、4,260 wstETH（1,930万ドル）。

**クロスチェーンで広範囲に波及**：イーサリアムは9,900万ドルの損失（最も大きい）、Berachain 1,286万ドル、Arbitrum 686万ドル、Base 390万ドル、Sonic 344万ドル。興味深いことに、Berachainのバリデーターはチェーン全体を直接停止させ、ハードフォークで取引をロールバックし資金を保護。この行動がコミュニティで中央集権化について大きな議論を呼びました。

**最も痛いポイント**：Balancer V2のコードはOpenZeppelin、Trail of Bits、Certoraなどトップレベルのセキュリティ企業によって2021〜2023年の間に10回以上監査されていましたが、この脆弱性は発見されませんでした。ある研究者は「10回監査しても1億1,000万ドルもハッキングされるなら、“〇〇に監査された”なんてほとんど意味がない」と皮肉を述べています。

**市場の反応は迅速**：BALトークンは11.1%急落し0.87ドルに、プロトコルのTVLは7億7,600万ドルから4億600万ドルに急落、ユーザーの信頼も一気に崩壊しました。Balancerチームは、全資金を返還すれば20%（2,560万ドル）の報奨金を支払うと提示し、48時間の期限を設けました。ただしStakeWise側はすでに1,900万ドルのosETHと170万ドルのosGNOを回収しており、損失の73.5%を取り戻しています。

**背景情報**：2025年前半、暗号資産分野の被ハッキング被害は20億ドルを超え、その多くが北朝鮮系ハッカーに関連しています。今回のBalancerのタイミングと技術手段は、悪名高いLazarus Groupの手口に似ているとも言われています。

**注意**：影響を受けたのはBalancer V2のComposable Stable Poolsのみで、V3や他のプールタイプは問題ありません。フィッシングによる偽の公式通知にご注意ください。