«Каждый раз, когда долгосрочный контракт подвергается атаке, это откатывает внедрение DeFi на шесть–двенадцать месяцев назад». Такую точку зрения озвучил Хасу, руководитель стратегии Flashbots и стратегический советник Lido, после недавнего взлома Balancer.
3 ноября известный DeFi-протокол Balancer подвергся беспрецедентному взлому, приведшему к потерям до $116,6 млн.
Эта огромная сумма была стремительно выведена злоумышленником через уязвимость обратного вызова между сетями в смарт-контрактах пула Balancer V2. По состоянию на 4 ноября атакующий активно обменивал похищенные активы на ETH через Cow Protocol.
01 Краткий обзор инцидента: огромные средства исчезают за мгновение
Атака на Balancer потрясла криптовалютное сообщество 3 ноября: первоначальные потери оценивались примерно в $70 млн, и сумма быстро росла.
На момент публикации общий ущерб достиг $116,6 млн — это самый серьезный инцидент безопасности за всю историю Balancer.
Ончейн-данные показывают, что основными похищенными активами стали токены ликвидного стейкинга: WETH, wstETH, osETH, frxETH, rsETH, rETH и другие.
Эти активы были распределены по нескольким сетям — ETH, Base, Sonic, причем основной удар пришелся на Ethereum, где потери составили почти $100 млн.
02 Анализ уязвимости: катастрофа, вызванная простой ошибкой
Эксперты по безопасности быстро установили причину. По данным Defimon Alerts и Decurity, проблема заключалась в проверке прав доступа функции manageUserBalance протокола Balancer V2.
При проверке разрешения на вывод средств система должна была удостовериться, что вызывающий действительно является владельцем аккаунта. Однако код ошибочно сверял, совпадает ли msg.sender (реальный инициатор вызова) с параметром op.sender, который задает пользователь.
Поскольку op.sender контролируется пользователем, злоумышленники могли легко подделать свою личность и обойти проверку прав.
Тот факт, что столь базовая ошибка контроля доступа возникла в протоколе, работающем уже пять лет, шокировал специалистов по безопасности.
03 Исторический контекст: шесть инцидентов безопасности за шесть лет
Если заголовок «Взлом Balancer» кажется вам знакомым, вы не ошибаетесь — это уже шестой крупный инцидент безопасности за последние пять лет.
Обзор истории безопасности Balancer выглядит следующим образом:
- Июнь 2020: уязвимость дефляционного токена, потери ~$520 000
- Март 2023: косвенные потери в результате инцидента с Euler, ~$11,9 млн
- Август 2023: ошибка точности в пулах V2, ~$2,1 млн
- Сентябрь 2023: атака через подмену DNS, ~$240 000
- Июнь 2024: взлом форк-проекта Velocore, ~$6,8 млн
Повторяющиеся инциденты вскрыли уязвимость не только Balancer, но и всей экосистемы DeFi.
04 Влияние на рынок: падение доверия и обвал цены
Рынок отреагировал быстро и резко. По данным CoinMarketCap, токен BAL (Balancer) 3 ноября снизился на 7,13%, закрывшись на отметке $0,92.
Текущая рыночная капитализация BAL составляет около $62,2 млн, что на $4,78 млн меньше, чем накануне. По данным платформы Gate, цена BAL уже длительное время находится под давлением.
Доверие к безопасности Balancer серьезно пошатнулось: инвесторы активно пересматривают свои позиции, наблюдается значительное давление на продажу.
Любопытный факт: LookonChain сообщил, что криптовалютный «кит», не проявлявший активности три года, внезапно проснулся после взлома Balancer и поспешил вывести $6,5 млн активов с платформы.
05 Эффект домино в отрасли: экстренные меры и приостановка операций
В ответ на кризис ряд проектов, интегрированных с Balancer, предприняли срочные шаги:
- Lido вывел свои невовлеченные позиции из Balancer
- Berachain объявил о полной остановке сети для экстренного хардфорка и устранения уязвимости BEX, связанной с Balancer V2
- Основатель Berachain Smokey The Bera сообщил, что команда Ethena отключила мост Bera и приостановила связанные рыночные операции
Эти действия подчеркивают ключевую роль Balancer в экосистеме DeFi и демонстрируют, как уязвимость одного протокола может создать системный риск.
06 Будущее безопасности DeFi: от технического долга к управлению рисками
Одно из новшеств Balancer — возможность объединять до восьми токенов с индивидуальными весами в одном пуле — стало его ахиллесовой пятой.
В отличие от Uniswap с лаконичной архитектурой, сложность Balancer растет экспоненциально: каждый добавленный токен существенно расширяет пространство состояний пула и увеличивает поверхность атаки.
Balancer выбрал путь быстрой итерации, добавляя новые функции поверх устаревшего кода — от V1 к V2 и Boosted Pools.
Такой накопленный «технический долг» превратил кодовую базу в неустойчивую конструкцию.
В 2025 году безопасность DeFi сталкивается с новыми вызовами. Атака TEE.Fail показала, что даже аппаратная защита может быть обойдена с помощью инструментов стоимостью всего $1 000.
Векторы атак сместились от ошибок в смарт-контрактах к операционным уязвимостям: 80,5% потерь теперь связаны с фишингом, поддельными airdrop’ами и утечками приватных ключей — угрозами вне блокчейна.
Для противодействия этим рискам инновации вроде криптографии с нулевым разглашением и мультиподписных кошельков позволили сократить потери от эксплойтов на 90% с 2020 года.
07 Руководство для инвесторов: осторожность прежде всего
Для инвесторов этот инцидент — серьезное напоминание: навигация по миру DeFi требует осмотрительности.
- Вывод средств из затронутых пулов: немедленно заберите активы из пулов Balancer V2, чтобы избежать дальнейших потерь
- Отмена разрешений: используйте Revoke, DeBank или Etherscan для отмены разрешений смарт-контрактов на адреса Balancer
- Выбор проверенных проектов: отдавайте предпочтение протоколам, сочетающим аудит смарт-контрактов с мониторингом в реальном времени и защитными механизмами
- Использование мультиподписных кошельков: снижайте риски единой точки отказа, особенно при хранении крупных сумм
Взгляд в будущее
По состоянию на 4 ноября последние данные показывают, что хакер Balancer продолжает обменивать похищенные токены ликвидного стейкинга на ETH через Cow Protocol. Аналитики отмечают, что злоумышленник конвертирует активы на разных сетях в ETH, USDC и другие крупные токены.
Официальная команда Balancer предложила 20% «white-hat» награду за возврат украденных средств, действительную в течение 48 часов. Однако надежды на возврат средств стремительно тают.
Для наблюдателей DeFi остается социальным экспериментом; для участников — каждое нападение становится дорогим уроком; для индустрии — построение надежной экосистемы DeFi — это цена зрелости.
