Crypto: Balancer став жертвою масштабного злому, незважаючи на 11 аудитів безпеки

Криптоіндустрію знову переслідує її нічний кошмар: хакерська атака. Ми майже про це забули. Як той старий демон, що прикидається сплячим, щоб вдарити сильніше. 2025 рік дав нам перепочинок… до 3 листопада. Balancer, цей DeFi-протокол, який, як вважалося, захищений десятком аудитів, був зламаний. І не наполовину. За добре продуманими контрактами реальність виявилася суворою: у криптоджунглях нічого ніколи не буває під повним контролем. Коли з’являється вразливість, вона б’є боляче.

Аудитована безпека, зруйнована довіра: Balancer втрачає 128 мільйонів

Коли PeckShield підняв тривогу, було вже запізно. За кілька годин Balancer втратив 128 мільйонів доларів. Лише в мережі Ethereum було виведено майже 70 мільйонів. Base, Arbitrum, Polygon, навіть форки на кшталт Sonic і Beethoven також постраждали. Що боляче? Протокол діяв за всіма правилами. Одинадцять аудитів, зокрема три для сховищ. Проте злом відбувся.

Як це сталося? Хірургічна маніпуляція Balancer Pool Tokens (BPT) під час пакетних обмінів. Маніпулюючи внутрішньою логікою розрахунку ціни, хакер створив штучний дисбаланс, вивівши кошти до того, як система встигла скоригуватися. Усе це було організовано через Tornado Cash. Класика для заплутування слідів.

Конор Гроган, аналітик Coinbase, підсумовує: 

Хакер, схоже, досвідчений: (1) Він поповнив свій рахунок 100 ETH і 0,1 ETH через Tornado Cash, без операційних витоків. (2) Враховуючи відсутність нещодавніх депозитів у 100 ETH на Tornado, ймовірно, хакер вже мав кошти з попередніх експлойтів.

Довіра, однак, зникла. Balancer втратив 46% свого TVL за один день. Шок був миттєвим.

Balancer і композитність: геніальність чи бомба уповільненої дії?

У криптовсесвіті панує композитність. Саме вона дозволяє кільком протоколам з’єднуватися, як цеглинки Lego. Balancer був побудований на цьому принципі. Його архітектура дозволяла пулам посилатися один на одного в реальному часі. Це було геніально… до того дня, коли ця взаємопов’язаність спричинила ланцюгову реакцію.

Зловмисник не просто спустошив один пул: він скористався ефектом доміно. Кожен уражений пул розбалансовував інші. На Berachain валідаторам довелося зупинити виробництво блоків, щоб запобігти ефекту снігової кулі. Інші проєкти, такі як Sonic, відключили мости та призупинили кредитування.

Robdog, розробник Cork Protocol, відреагував: 

Хоча основи DeFi стають дедалі безпечнішими, сумна реальність у тому, що ризики, пов’язані зі смарт-контрактами, оточують нас всюди.

Balancer, просуваючи логіку “все пов’язано”, також показав межі цієї моделі.

Крипто під напругою: після Balancer сигнали стають червоними

Ця драма виходить за межі одного Balancer. У криптоекосистемі виникає питання: чи не стали аудити марними тотемами? Suhail Kakar ставить незручне питання: понад десять аудитів, але злом на 110 мільйонів. Чи повинні розробники крипто переосмислити свій підхід? Чи прийняти, що ризик — це частина гри?

Поки розробники шукають “пластирі”, інвестори тікають. Навіть найвідданіші виводять свої кошти. Це зрозуміла реакція: якщо навіть ультрааудитовані проєкти падають, хто може справді надихати довіру?

Основні висновки:

• Злом Balancer перевищує $128M, зачепивши Ethereum, Arbitrum, Base, Polygon та інші мережі;
• 11 аудитів не змогли виявити вразливість у смарт-контрактах;
• Balancer втратив 46% свого TVL лише за 24 години, приблизно $348M зникло;
• Композитна архітектура протоколу збільшила кількість точок відмови;
• Berachain призупинив свою мережу, щоб обмежити вплив і підготувати хардфорк.

Поки DeFi загоює свої рани, ще одна погана новина затьмарює горизонт: за 24 години на крипторинку було ліквідовано понад 1.1 billions доларів. Результат: Bitcoin, Ether і Dogecoin різко впали. Каскадні потрясіння в індустрії, яка досі занадто нестабільна.