Balancerで1.2億ドル以上の資金が盗まれた場合、あなたは何をすべきですか？

現在の総盗難額は1.2864億ドルであり、攻撃は継続中です。

執筆：1912212.eth，Foresight News

11月3日午後、老舗DeFiプロトコルのBalancerが重大なセキュリティ脆弱性攻撃を受けました。攻撃者はプロトコルのコアスマートコントラクトを操作し、わずか数時間で複数の流動性プールから1.1億ドルを超える暗号資産をBalancerの金庫から攻撃者が管理するウォレットへ移動させました。この攻撃の影響で、BALの価格は0.9ドル付近まで下落し、24時間で8.64%の下落となりました。

debankのデータによると、盗まれた資金にはEthereumエコシステムの9985万ドル、Arbitrumチェーン上の795万ドル、Baseエコシステムの394万ドル、Sonic上の340万ドル、OPチェーン上の156万ドルなどが含まれています。

午後5時41分（UTC+8）時点で、SlowMistの調査によると、総盗難額は1.2864億ドルであり、その中にはBerachainの1286万ドルが追加されています。

Berachain公式は、HONEYのミントおよびBEXプール／金庫機能を一時停止したと発表しました。バリデータノードはBerachainネットワークの運用を一時停止するよう調整し、コアチームが緊急ハードフォークを実施してBEX上のBalancer V2関連の脆弱性問題を解決する予定です。

このような巨額の盗難事件により、3年間休眠していたクジラ0x0090が迅速に行動し、Balancerから資金を引き出しました。

今回の事件はBalancer V2アーキテクチャのアクセス制御の欠陥を露呈しただけでなく、Ethereumメインネット、Base、Polygon、Sonicなど複数のブロックチェーンネットワークにも波及し、総損失が急速に拡大しました。

現在も攻撃は継続中です。

Balancerは2020年に設立され、Balancer Labsによって開発された自動化マーケットメーカー（AMM）プロトコルであり、ユーザーがカスタマイズ可能な流動性プールを作成し、複数資産のウェイト調整をサポートします。UniswapなどのシンプルなAMMとは異なり、Balancerの設計は柔軟性と資本効率に重点を置いており、特にV2バージョンでは「Boosted Pools」や金庫（Vault）システムを導入し、これらの機能は利回りの最適化とスリッページの削減を目的としています。前回のDeFiブーム時には、BalancerのTVLは32.39億ドルに達しました。

現在、プロトコルのTVLはわずか6.7844億ドルです。

分析によると、今回の攻撃は金庫コントラクトのアクセス制御の不具合が原因です。攻撃者はフラッシュローンの仕組みを利用し、権限を偽造してBoosted Poolから資産を引き出しました。具体的には、攻撃者はレートプロバイダーを操作し、認可チェックを回避して金庫から外部アドレス0xAa760D53541d8390074c61DEFeaba314675b8e3fへ直接資金を移動させました。オンチェーントランザクションハッシュ（0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569）によると、攻撃は数分で複数回の移転を完了し、WETH、osETH、wstETH、frxETH、rsETH、rETHなどのETHデリバティブが関与しています。この手法は過去のDeFi攻撃、例えば2022年のNomad Bridgeのアクセス制御脆弱性と類似していますが、Balancerのマルチチェーン展開によりリスクが拡大し、クロスチェーンでの損失につながりました。

今回の攻撃の前因はBalancerの過去のセキュリティ問題に遡ることができます。このプロトコルは初めての危機ではありません：

• 2021年6月、Balancerはスマートコントラクトの脆弱性により50万ドルを失いました；
• 2023年8月にはDNSハイジャック攻撃により27万ドルの資金流出が発生しました。

直近の小規模な脆弱性は2025年10月に発生し、レートプロバイダー（rate providers）の操作が関与していました。

これらの事件はすべて、プロトコルのアクセス制御と外部依存における弱点を示しています。V2バージョンは2021年にローンチされてから約5年が経過し、複数回の監査、ファジングテスト、形式的検証を経てきましたが、それでも完全に脆弱性を塞ぐことはできませんでした。

Flashbots戦略ディレクター、Lido戦略アドバイザーのHasuは、「Balancer v2は2021年にローンチされて以来、最も注目され、頻繁にフォークされているスマートコントラクトの一つとなっています。これは非常に憂慮すべきことです。これほど長期間稼働しているコントラクトが攻撃されるたびに、DeFiの普及プロセスが6～12ヶ月後退することになります」と述べています。

現在、BalancerチームはV2プールに脆弱性が存在する可能性があると声明を発表し、エンジニアとセキュリティチームが本件を調査中です。

Foresight Newsはユーザーに対し、直ちに資金を引き出し、承認を取り消す（Revoke.cashなどで対応）、および疑わしいフィッシングリンクを避けるよう推奨しています。