Від Balancer до Berachain, у випадку призупинення ланцюга.

Екосистема DeFi знову опинилася в центрі бурі.

3 листопада (UTC) кілька проєктів на Balancer V2 стали жертвами складної атаки, що призвела до сукупних втрат понад $120 мільйонів. Інцидент зачепив не лише головну мережу Ethereum, а й поширився на Arbitrum, Sonic та Berachain, що стало черговою масштабною кризою безпеки після хаків Euler Finance і Curve Finance.

За попереднім висновком BlockSec, це була «висококомплексна атака з маніпуляцією ціною». Зловмисник скористався логікою розрахунку ціни BPT (Balancer Pool Token), використавши похибки округлення в інваріанті для спотворення цін і здійснення повторних арбітражних транзакцій у межах одного batch swap.

Наприклад, атака на Arbitrum мала три етапи:

• Спочатку зловмисник обміняв BPT на базові активи, точно підігнавши баланс cbETH до порогу округлення (близько 9 одиниць), створивши передумови для втрати точності;
• Далі фіксована кількість (=8) була обміняна між wstETH і cbETH. Під час масштабування округлення вниз призвело до незначного зменшення розрахованої Δx, що спричинило занижену Δy, зменшення інваріанти D і падіння теоретичної ціни BPT;
• Зрештою, зловмисник обміняв базові активи назад на BPT, отримавши прибуток із штучно заниженої ціни.

Це була атака на точність на перетині математики й коду.

Офіційна команда Balancer підтвердила, що експлуатовано V2 Composable Stable Pools. Зараз вони працюють із провідними фахівцями з безпеки, обіцяють провести повний аналіз інциденту й терміново заморозили всі уражені пули, які можна зупинити. Уразливість обмежується лише V2 Composable Stable Pools і не зачіпає Balancer V3 або інші типи пулів.

Після експлойту Balancer V2 всі проєкти-«форки» Balancer зазнали серйозних збоїв. За даними DeFiLlama, станом на 4 листопада (UTC) загальна заблокована вартість (TVL) у дотичних проєктах знизилася до приблизно $49,34 мільйона — падіння на 22,88% за добу. BEX, нативна DEX Berachain, втратив 26,4% TVL до $40,27 мільйона, що все ще становить 81,6% TVL екосистеми, але відтік продовжився через зупинку ланцюга та заморожену ліквідність. Ще один постраждалий, Beets DEX, показав гірший результат: TVL впав на 75,85% за 24 години й майже на 79% за останні 7 днів.

Інші DEX на базі Balancer теж пережили масові виводи: PHUX — мінус 26,8% за добу, Jellyverse — мінус 15,5%, Gaming DEX — мінус 89,3% із майже повною втратою ліквідності. Навіть дрібні проєкти, які не постраждали безпосередньо — як-от KLEX Finance, Value Liquid і Sobal — демонстрували типовий відтік у межах 5–20%.

Ланцюгова реакція: Berachain екстрено проводить хардфорк

Уразливість Balancer V2 швидко спричинила ланцюгові наслідки.

Новий публічний ланцюг Berachain на базі Cosmos SDK також постраждав за кілька годин, адже його нативна DEX BEX використовувала контракти Balancer V2. Фундація одразу оголосила про повну зупинку мережі після виявлення підозрілої активності.

USDe Tripool BEX та інші ліквідні пули опинилися під загрозою, під ризиком — близько $12 мільйонів. Зловмисник використав таку ж логічну вразливість, як і у Balancer, вивівши кошти через низку взаємодій зі смартконтрактами. Оскільки частина активів була не нативною, команда була змушена провести хардфорк задля відкату блоків для відновлення й відстеження.

Тим часом низка протоколів екосистеми Berachain — Ethena, Relay, HONEY — вжили захисні заходи:

• Заблокували кросчейн-перекази USDe;
• Зупинили депозити на кредитному ринку;
• Припинили емісію та викуп HONEY;
• Повідомили CEX про блокування підозрілих адрес.

Фундація Berachain пояснила, що зупинка мережі була свідомою, і роботу незабаром відновлять. Атака головно зачепила трипул Ethena/Honey через складні смартконтрактні взаємодії. Оскільки уразливими виявилися не лише нативні активи (не тільки BERA), відкат і відновлення виявилися складнішими за звичайний хардфорк, тому ланцюг залишається зупиненим до остаточного вирішення.

4 листопада (UTC) фундація повідомила, що бінарники хардфорку вже розповсюджено, і частина валідаторів оновилася. Перед відновленням роботи й генерацією блоків команда має переконатися, що всі ключові партнери інфраструктури (наприклад, ліквідаційні оракули) оновили свої RPC, оскільки це необхідно для відновлення ланцюга. Після готовності основних сервісів команда координуватиме запуск з мостами, CEX, кастодіанами та іншими учасниками для повного відновлення функціоналу.

Тим часом оператор MEV-бота Berachain повідомив фундацію після паузи, що вивів кошти як «white hat» і залишив повідомлення в мережі. Оператор заявив, що готовий підписати транзакції для повернення коштів після відновлення блокчейна.

Безпека чи децентралізація?

«Розуміємо, що це викликає дискусії, але коли на кону $12 мільйонів користувацьких активів, захист користувачів — єдиний вибір», — заявив співзасновник Berachain Smokey The Bera, коментуючи побоювання щодо централізації.

Він визнав, що Berachain ще не досяг рівня децентралізації Ethereum, а координація валідаторів поки що більше схожа на кризовий штаб, ніж на повністю автоматизовану мережу консенсусу. Фактично вузли було зупинено менш ніж за годину після атаки — це показало ефективність централізованих рішень, але й продемонструвало масштаби централізації управління.

Громада одразу розділилася в оцінках.

Прихильники вважають це проявом відповідальності за безпеку користувачів — своєрідною «реалістичною децентралізацією». Критики ж стверджують, що це суперечить принципу «Code is Law» і підриває незмінність блокчейна.

Ончейн-дослідник ZachXBT зазначив: «Коли кошти користувачів під загрозою, це було непросте, але правильне рішення».

Деякі розробники заперечили: «Якщо будь-хто може зупинити блокчейн у будь-який момент, чим він відрізняється від традиційної фінансової системи?»

Тінь інциденту DAO повернулася

Ця криза нагадала багатьом злам DAO на Ethereum у 2016 році, коли через хардфорк транзакції відкотили, щоб повернути $50 мільйонів, що спричинило розкол на Ethereum (ETH) і Ethereum Classic (ETC).

Через дев’ять років дилема повторюється.

Цього разу головною дійовою особою стала молода публічна мережа без належної децентралізації чи глобального консенсусу великої екосистеми.

Втручання Berachain зупинило масштабніші втрати, але знову підняло філософську дискусію: чи може блокчейн бути справді автономним?

Для екосистеми DeFi це своєрідне дзеркало: безпека, ефективність і децентралізація — досягти реальної рівноваги між цими трьома ще не вдалося.

Коли хакери можуть знищити десятки мільйонів доларів за секунди, «ідеали» часто поступаються місцем «реальності».

Команда Balancer повідомила, що співпрацює з топовими фахівцями з безпеки та готує повний розбір інциденту, попереджаючи користувачів про фішингові повідомлення від фейкових команд безпеки.

Berachain очікує поступового відновлення блоків і транзакцій після завершення хардфорку.

Однак відновити довіру значно складніше, ніж виправити код. Для нової публічної мережі зупинка ланцюга — це екстрений захід, що може залишити глибокі шрами. Користувачі сумніватимуться в децентралізації, а розробники — у незмінності системи.

Світ DeFi нині, ймовірно, переосмислює децентралізацію — не як абсолютну свободу, а як пошук консенсусу щодо мінімально необхідного компромісу у кризовій ситуації.

Заява:

1. Ця стаття є передруком із [Foresight News], авторські права належать оригінальному автору [ChandlerZ, Foresight News]. З питань передруку звертайтеся до команди Gate Learn для оперативного вирішення.
2. Відмова від відповідальності: Думки, висловлені в цій статті, є особистою позицією автора і не є інвестиційною порадою.
3. Інші мовні версії перекладені командою Gate Learn. Якщо не вказано Gate, копіювання, поширення чи плагіат перекладених статей заборонені.