5 років, 11 аудитів, 6 разів зламано: чому у Balancer із такою темною історією все ще залишаються фанати

Ден Тон, Jinse Finance

3 листопада 2025 року DeFi-протокол Balancer зазнав хакерської атаки, внаслідок якої було викрадено цифрові активи на суму понад 100 мільйонів доларів. Команда Balancer зазначила: Ми помітили, що в пулі Balancer v2 може бути вразливість, і наші інженерна та безпекова команди пріоритетно розслідують цю ситуацію.

У цій статті розглядається хронологія атаки на Balancer, наводяться реакції різних сторін, аналізується "темне минуле" Balancer і обговорюється, чому, незважаючи на часті інциденти безпеки, у Balancer досі багато прихильників.

1. Огляд атаки на Balancer

У понеділок децентралізована біржа та автоматичний маркет-мейкер Balancer зазнали хакерської атаки, в результаті якої цифрові активи на суму понад 116 мільйонів доларів були переведені на новостворений гаманець.

У понеділок команда Balancer опублікувала повідомлення на X: "Ми помітили потенційну вразливість, яка може вплинути на пул Balancer v2. Наші інженерна та безпекова команди розслідують це з найвищим пріоритетом". Як тільки з'явиться більше інформації, ми поділимося подальшими оновленнями.

Початкові дані з блокчейну показують, що Balancer зазнав атаки, внаслідок якої було втрачено стейкований Ethereum на суму 70,9 мільйонів доларів. Логи Etherscan показують, що Ethereum було переведено на новий гаманець трьома транзакціями.

Платформа криптоаналітики Nansen у пості на X заявила, що серед викрадених активів були 6 850 StakeWise стейкованих ETH (OSETH), 6 590 Wrapped Ether (WETH) і 4 260 Lido wstETH (wSTETH).

Однак викрадені активи не обмежуються лише 70,9 мільйонами доларів — сума продовжує зростати. За даними блокчейн-платформи Lookonchain, станом на понеділок о 8:52 (UTC+8) сума викрадених коштів вже перевищила 116,6 мільйонів доларів.

Balancer звернувся до хакера через блокчейн: готовий виплатити 20% від викрадених активів як винагороду "білому хакеру" за повернення коштів, пропозиція дійсна протягом 48 годин. Якщо кошти не будуть повернуті протягом наступних 48 годин, Balancer продовжить співпрацю з експертами з блокчейн-форензіки та правоохоронними органами для ідентифікації злочинця. Balancer зазначив: "Наші партнери впевнені, що метадані журналів доступу, зібрані нашою інфраструктурою, можуть ідентифікувати вашу особу, ці метадані показують підключення з певної групи IP-адрес/ASN і часові мітки входу, пов'язані з ончейн-активністю".

Згодом Balancer написав у Twitter: Ми помітили потенційну вразливість у пулі Balancer v2. Наші інженерна та безпекова команди розслідують це з пріоритетом. Як тільки отримаємо більше інформації, ми оперативно поділимося перевіреними оновленнями та подальшими діями.

Balancer написав на X: "Сьогодні приблизно о 7:48 (UTC) пул Composable Stable Pools Balancer V2 зазнав атаки. Наша команда співпрацює з провідними дослідниками безпеки для розслідування причин і надасть більше результатів та повний постмортем-аналіз у найкоротші терміни. Оскільки ці пули працюють ончейн вже багато років, багато з них вже вийшли за межі вікна, коли їх можна призупинити. Наразі всі пули, які ще можна було призупинити, вже призупинені та перебувають у режимі відновлення. Інші пули Balancer не постраждали. Проблема стосується лише V2 Composable Stable Pools і не впливає на Balancer V3 чи інші типи пулів. Безпекове попередження: наразі в мережі з'явилися фішингові повідомлення, що видають себе за команду безпеки Balancer — це не наші повідомлення. Не взаємодійте з такими невідомими джерелами і не переходьте за підозрілими посиланнями."

За даними ончейн-аналітика Yu Jin, сьогодні вночі StakeWise через контракт повернув від хакера Balancer 5 041 osETH (19,3 мільйона доларів). Таким чином, сума викрадених хакером активів з Balancer зменшилася з 117 мільйонів доларів до 98 мільйонів доларів. Хакер поступово обмінює LST на ETH, наразі вже більше половини викрадених активів конвертовано в ETH.

2. Аналіз причин крадіжки

Balancer зазнав атаки через бухгалтерську вразливість. Trading Strategy, Nansen та Phalcon пояснили цю атаку з різних точок зору.

Генеральний директор і співзасновник Trading Strategy Мікко Охтаама зазначив, що попередній аналіз вказує на дефект у перевірці смарт-контракту як на основну причину.

Аналітик Nansen Ніколай Сондергаард заявив, що зловмисник, ймовірно, "сфабрикував велику суму комісій, внесених на комісійний рахунок Balancer, а потім натиснув кнопку виведення, обмінявши WETH на готівку — по суті, конвертувавши фіктивні бали у справжні гроші".

За попередніми результатами розслідування компанії з безпеки блокчейну Phalcon, ціллю зловмисника були Balancer Pool Tokens (BPT), токени, що представляють частку користувача в пулі ліквідності. За даними компанії, вразливість виникла через спосіб, у який Balancer розраховує ціну пулу під час пакетного обміну. Зловмисник маніпулював цією логікою, спотворюючи внутрішню цінову інформацію, штучно створюючи ціновий дисбаланс і встигнувши вивести токени до того, як система самовідновилася.

Криптоаналітик Adi зазначив: "Неправильна авторизація та обробка зворотних викликів дозволили зловмиснику обійти заходи безпеки. Це дало змогу проводити несанкціоновані обміни або маніпуляції балансами у взаємопов'язаних пулах, що дозволило вичерпати активи за лічені хвилини".

Conor Grogan з Coinbase зазначив, що дії зловмисника свідчать про професіоналізм: адреса зловмисника спочатку була профінансована 100 ETH через Tornado Cash, що означає, що ці кошти, ймовірно, походять з попередніх експлойтів. "Зазвичай ніхто не кладе 100 ETH у Tornado Cash просто так" — це поведінка досвідченого хакера.

3. Реакція різних сторін на атаку Balancer

1. Ринок криптовалют різко впав

Під впливом негативу від крадіжки Balancer і тиску продажу майже 100 мільйонів доларів, вкрадених хакером, загальна ситуація на ринку криптовалют стала невтішною, SOL за 24 години впав майже на 10%. На момент публікації BTC торгувався по 104 577 доларів (UTC+8), падіння за 24 години — 2,6%; ETH — 3 506 доларів (UTC+8), падіння за 24 години — 5,6%.

BAL, нативний токен управління протоколу Balancer, впав ще більше — двозначне зниження. На момент публікації BAL торгувався по 0,8376 долара (UTC+8), падіння за 24 години — 12,6%.

2. Вплив на форк-проекти Balancer

Співзасновник Redstone Марцін у Twitter попередив: форк-проекти Balancer, такі як Beets на Sonic, також, схоже, постраждали. За даними DefILlama, лише за трохи більше години TVL BEX впав з 54 мільйонів доларів до близько 41 мільйона доларів (UTC+8), зниження понад 24%. Крім того, BEX на Berachain також може бути під загрозою, TVL Beets — близько 10 мільйонів доларів (UTC+8), за півгодини падіння понад 30%.

Офіційний акаунт Sonic у X повідомив, що через атаку на Balancer, яка зачепила екосистемний проект Sonic Beets, команда впровадила механізм безпеки, який буде реалізовано під час майбутнього оновлення мережі. Крім того, два гаманці, пов'язані з хакером (0xf19f, 0x0453), вже заморожені в очікуванні подальшого розслідування. Sonic співпрацюватиме з командою Beets для подальших дій.

Фонд Berachain заявив, що валідатори координовано призупинили роботу мережі Berachain, щоб основна команда могла провести терміновий хардфорк для вирішення проблеми з уразливістю BEX, пов'язаної з Balancer V2. Це планова зупинка, мережа відновить роботу незабаром.

GoPlus також повідомив у соцмережах, що всі DeFi-проекти, які є форками Balancer, постраждали від цієї вразливості, вже кілька протоколів були атаковані. Рекомендується перевірити список форків Balancer на сайті Defillama, негайно припинити взаємодію з ними та швидко вивести активи для самозахисту.

3. Lido вивів свої непостраждалі позиції з Balancer

Lido повідомив, що деякі пули BalancerV2 були атаковані. Протокол Lido не постраждав, всі кошти користувачів у безпеці. З міркувань обережності, команда управління Lido GGV Veda вивела свої непостраждалі позиції з Balancer. Всі кошти Lido Earn залишаються в безпеці.

4. xUSD втратив прив'язку, впав на 75,7%

За останні 24 години (UTC+8) Staked Stream USD (XUSD) втратив прив'язку приблизно на 75,7% — це ланцюгова реакція, спричинена хакерською атакою на Balancer. Stream Finance заявила: зовнішній менеджер фонду повідомив про втрату близько 93 мільйонів доларів у фондах Stream під його наглядом. Stream найняла юристів Perkins Coie LLP Кіта Міллера та Джозефа Катлера для проведення повного розслідування. Наразі Stream виводить всі ліквідні активи та оголосила про призупинення всіх депозитів і зняття коштів, подальші оновлення будуть надаватися регулярно.

5. Кити виводять кошти

Під впливом хакерської атаки кит 0x0090, який не проявляв активності 3 роки, щойно прокинувся після атаки на Balancer — терміново вивів всі 6,5 мільйона доларів з Balancer (UTC+8).

6. Реакція користувачів

Контент-кріейтор PythiaCrypto зазначив: З юридичної та безпекової точки зору, що ще можна зробити? Єдиний спосіб — знайти викрадені кошти, заморозити їх, а потім повернути жертвам. Якщо це неможливо, то немає жодного способу притягнути злодія до відповідальності чи компенсувати постраждалих.

Деякі користувачі обурені:

"Це одна з найпотенційніших вразливостей в історії".

"Після втрати 116 мільйонів ще говорити про 'потенціал' — це божевілля".

"XMR отримає інвестицію у 1.1 мільярда доларів".

"Від Cetus Protocol до Nemo Finance і тепер Balancer Finance? Все це сталося за один рік! Чи варто нам хвилюватися щодо використання DeFi? Це ж 'майбутнє фінансів', чи не так?"

4. Одинадцять аудитів і все одно злам — "темне минуле" Balancer

Скільки аудитів пройшов Balancer? 11.

Керівник відділу відносин з розробниками TAC Blockchain Сухайл Какар зазначив: "Balancer пройшов понад десять аудитів, скарбниця була перевірена різними компаніями тричі, але все одно зазнав хакерської атаки з втратою до 1.1 мільярда доларів. У цій сфері треба зрозуміти, що 'пройшов X аудитів' майже нічого не означає. Код складний, DeFi ще складніше".

Згідно зі списком аудитів Balancer V2 на GitHub, чотири різні компанії з безпеки — OpenZeppelin, Trail of Bits, Certora і ABDK — провели 11 аудитів смарт-контрактів платформи, останній з яких — аудит стабільного пулу Trail of Bits у вересні 2022 року.

Криптоаналітик Antyzo зазначив: Економія на аудиті безпеки завжди обертається проти вас. Сподіваюся, кошти користувачів у безпеці. Для будь-якого DeFi-протоколу аудит — це базова необхідність, а не додаткові витрати.

Співзасновник UntradenOrg ReiSoleil зазначив: Мовчання аудиторів оглушливе.

Співзасновник PegaX Neighman зазначив: Balancer пройшов багато аудитів і встановив винагороду за баги у 1 мільйон доларів, але все одно зіткнувся з цією катастрофою. У цій сфері безпеку ніколи не можна недооцінювати — це найосновніша вимога. Те саме стосується і ончейн-бірж.

Довгий час Balancer вважався консервативним вибором для провайдерів ліквідності — місцем для зберігання активів і отримання стабільного доходу. Його довга історія, сувора система аудитів і інтеграція з основними DeFi-платформами створили ілюзію, що тривала робота дорівнює безпеці. Однак вчорашні та сьогоднішні інциденти з безпекою спростували це твердження.

Раніше Balancer вже неодноразово зазнавав хакерських атак.

1. У червні 2020 року Balancer зазнав атаки через вразливість дефляційного токена, втративши 520 тисяч доларів. Зловмисник скористався неправильним обробленням дефляційних токенів у протоколі Balancer, взявши флеш-кредит у 104 тисячі ETH на dYdX, а потім 24 рази торгував між STA і ETH. Оскільки Balancer неправильно розраховував фактичний баланс після кожного переказу, STA у пулі було вичерпано до 1 wei, і зловмисник скористався серйозним ціновим дисбалансом, обмінявши мізерну кількість STA на велику кількість ETH, WBTC, LINK і SNX.

2. У березні 2023 року Balancer постраждав від інциденту Euler, втративши 11,9 мільйона доларів. Euler Finance зазнав флеш-кредитної атаки на 197 мільйонів доларів, а пул bb-e-USD Balancer, який містив eToken Euler, також постраждав — близько 11,9 мільйона доларів було виведено з пулу bb-e-USD Balancer на Euler, що становило 65% TVL пулу.

3. У серпні 2023 року пул Balancer V2 зазнав атаки через вразливість точності, втративши 2,1 мільйона доларів. Зловмисник точно маніпулював розрахунком пропозиції BPT (Balancer Pool Token), що дозволило йому вивести активи з пулу за несправедливим курсом. Атака була здійснена через кілька флеш-кредитних транзакцій.

4. У вересні 2023 року Balancer зазнав атаки через DNS-спуфінг, втративши 240 тисяч доларів. Хакер за допомогою соціальної інженерії зламав реєстратора домену EuroDNS, перехопив домен balancer.fi, користувачі були перенаправлені на фішинговий сайт, який використовував шкідливий контракт Angel Drainer для отримання дозволу на переказ, а викрадені кошти були відмиті через Tornado Cash.

5. У червні 2024 року Balancer постраждав від атаки на Velocore, втративши 6,8 мільйона доларів. Зловмисник скористався вразливістю переповнення у контракті Balancer-подібного CPMM-пулу Velocore, маніпулюючи множником комісії понад 100%, що призвело до помилки розрахунку, і зрештою, використовуючи флеш-кредит і спеціально сконструйовану операцію виведення, викрав близько 6,8 мільйона доларів.

5. Чому, незважаючи на часті крадіжки, Balancer досі має відданих фанатів?

Навіть після запуску у 2020 році Balancer неодноразово потрапляв у новини через інциденти з безпекою, але у нього досі багато відданих користувачів.

Головна причина в тому, що Balancer — це не лише децентралізована біржа, а й AMM-автоматичний маркет-мейкер, який підтримує мульти-активні пули, програмовані ваги, динамічні комісії, Boosted-комбіновані пули тощо. Багато DeFi-проектів і стратегій (наприклад, Yearn, Aura, BeethovenX тощо) безпосередньо залежать від протоколу Balancer як базового шару ліквідності. Тому, навіть якщо трапляються інциденти безпеки, інерція екосистеми цих протоколів підтримує базу користувачів.

Крім того, Balancer як AMM-протокол дозволяє користувачам створювати і керувати кастомними пулами ліквідності, підтримує різні комбінації активів і налаштування ваг. Це приваблює багатьох професійних провайдерів ліквідності і трейдерів, які можуть оптимізувати ліквідність під свої стратегії для отримання вищого прибутку. Алгоритм Balancer дозволяє ефективніше використовувати ліквідність, порівняно з традиційними AMM, забезпечуючи кращі ціни і менший сліппедж при тій же ліквідності. Це дуже важливо для великих і частих трейдерів, оскільки знижує їхні торгові витрати.

6. Чи можна ще довіряти DeFi?

Директор зі стратегії Flashbots і радник Lido Hasu зазначив, що Balancer v2 був запущений у 2021 році і з того часу став одним із найпомітніших і найчастіше форкованих смарт-контрактів. Це дуже тривожно. Кожного разу, коли такий довгоіснуючий контракт зламують, це (очікувано) відкидає впровадження DeFi на 6–12 місяців назад.

Засновник і генеральний директор Circuit Harry Donnelly заявив: інцидент з витоком даних Balancer — це "серйозне попередження" для DeFi-екосистеми, підкресливши, що Balancer — "один із найбільш довірених брендів у галузі", а також "піонер із культурою комплаєнсу, суворими аудитами і прозорістю". Саме ця прозорість допомогла Balancer досягти успіху, але й зробила його більш вразливим до атак. "Якщо DeFi справді хоче кинути виклик традиційним фінансам, потрібно діяти на випередження — бути стійкими і реагувати проактивно, а не просто латати дірки і заморожувати кошти постфактум".

Засновник і генеральний директор OneSource Владислав Гінзбург зазначив: "Смарт-контракти і фінансова інженерія — це частина ризиків інвестування у DeFi. Тому аудит смарт-контрактів критично важливий. Я не вважаю, що вразливість Balancer є новою парадигмою, тому це не повинно змінювати рівень довіри чи ризиків. Все залишається як є".

Головний технічний директор платформи Komodo Kadan Stadelmann висловив подібну думку, вважаючи, що основні користувачі DeFi не відступлять, але інституційні інвестори можуть бути налякані. "Саме такі хакерські атаки у сфері DeFi змушують інституційних і альтернативних інвесторів переходити до стратегії виключно Bitcoin".