«Кожного разу, коли подібний довгостроковий смарт-контракт зазнає атаки, це відкидає впровадження DeFi назад на шість–дванадцять місяців». Такою була думка Hasu, керівника стратегічного напрямку Flashbots та стратегічного радника Lido, після нещодавнього зламу Balancer.
3 листопада провідний DeFi-протокол Balancer зазнав безпрецедентної атаки, внаслідок якої було втрачено до $116,6 млн.
Ця значна сума була швидко виведена через вразливість зворотного виклику між ланцюгами у смарт-контрактах пулів Balancer V2. Станом на 4 листопада зловмисник активно обмінював викрадені активи на ETH через Cow Protocol.
01 Огляд інциденту: Миттєве зникнення величезних коштів
Атака на Balancer сколихнула криптоспільноту 3 листопада: початкові втрати оцінювалися приблизно у $70 млн, але сума швидко зросла.
На момент написання загальні втрати досягли $116,6 млн, що стало найсерйознішим інцидентом безпеки в історії Balancer.
Ончейн-дані свідчать, що основними викраденими активами були токени ліквідного стейкінгу, зокрема WETH, wstETH, osETH, frxETH, rsETH, rETH та інші.
Ці активи були розподілені між кількома мережами — ETH, Base, Sonic — при цьому найбільших збитків зазнала мережа Ethereum, де втрати склали майже $100 млн.
02 Аналіз вразливості: Катастрофа, спричинена елементарною помилкою
Дослідники безпеки оперативно ідентифікували першопричину. За даними Defimon Alerts та Decurity, проблема полягала у перевірках контролю доступу функції manageUserBalance протоколу Balancer V2.
Під час перевірки дозволів на виведення система мала переконатися, що викликаючий є справжнім власником рахунку. Натомість код помилково звіряв, чи збігається msg.sender (реальний відправник транзакції) із параметром op.sender, який задає користувач.
Оскільки op.sender контролюється користувачем, зловмисники могли легко підробити свою особу та обійти перевірки дозволів.
Той факт, що така базова помилка контролю доступу з’явилася у протоколі, який працює вже п’ять років, шокував експертів з безпеки.
03 Історичний контекст: Шість інцидентів безпеки за шість років
Якщо заголовок «Balancer зламано» здається знайомим — ви не помиляєтесь. Це вже шостий серйозний інцидент безпеки Balancer за останні п’ять років.
Огляд історії безпеки Balancer змушує замислитись:
- Червень 2020: Вразливість дефляційного токена, втрачено ~$520 000
- Березень 2023: Опосередковані втрати через інцидент з Euler, втрачено ~$11,9 млн
- Серпень 2023: Помилка точності у пулах V2, втрачено ~$2,1 млн
- Вересень 2023: Атака через підміну DNS, втрачено ~$240 000
- Червень 2024: Злам форк-проєкту Velocore, втрачено ~$6,8 млн
Повторювані злами виявили не лише вразливість Balancer, а й крихкість захисту усього DeFi-сектору.
04 Вплив на ринок: Падіння довіри та обвал ціни
Ринок відреагував різко та миттєво. За даними CoinMarketCap, токен BAL (Balancer) 3 листопада впав на 7,13%, закрившись на рівні $0,92.
Поточна ринкова капіталізація BAL становить близько $62,2 млн, що на приблизно $4,78 млн менше, ніж напередодні. За даними платформи Gate, ціна BAL вже тривалий час перебуває під тиском.
Довіра до безпеки Balancer суттєво підірвана: інвестори активно коригують свої позиції, спостерігається значний тиск на продаж.
Цікавий факт: LookonChain повідомив, що криптокит, який не проявляв активності три роки, раптово прокинувся після експлойту Balancer і поспішив вивести з платформи активи на $6,5 млн.
05 Відлуння в індустрії: Надзвичайні заходи та призупинення операцій
У відповідь на кризу кілька проєктів, інтегрованих із Balancer, вжили термінових заходів:
- Lido вивів свої незачеплені позиції з Balancer
- Berachain оголосив повну зупинку мережі для екстреного хардфорку з метою усунення вразливостей BEX, пов’язаних із Balancer V2
- Засновник Berachain Smokey The Bera повідомив, що команда Ethena вимкнула міст Bera та призупинила відповідні ринкові операції
Ці дії підкреслюють ключову роль Balancer у DeFi-екосистемі та демонструють, як вразливість одного протоколу може спричинити системний ризик.
06 Майбутнє безпеки DeFi: Від технічного боргу до управління ризиками
Одна з інновацій Balancer — можливість розміщення до восьми токенів із власними вагами в одному пулі — водночас стала його ахіллесовою п’ятою.
Порівняно зі спрощеною архітектурою Uniswap, складність Balancer зростає експоненційно. Додавання кожного нового токена суттєво розширює простір станів пулу та потенційні вектори атаки.
Balancer обрав шлях швидких ітерацій, нашаровуючи нові функції поверх коду попередніх версій — від V1 до V2 і Boosted Pools.
Накопичення такого «технічного боргу» перетворило кодову базу на хитку конструкцію.
У 2025 році безпека DeFi стикається з новими викликами. Атака TEE.Fail показала, що навіть апаратний рівень захисту можна обійти за допомогою інструментів вартістю лише $1 000.
Вектори атак змістилися від багів у смарт-контрактах до операційних вразливостей: нині 80,5% втрат спричиняють фішинг, підроблені airdrop-и та витоки приватних ключів — тобто загрози, що виникають поза блокчейном.
Для протидії цим ризикам інновації на кшталт нульових знань (zero-knowledge cryptography) та мультипідписних гаманців дозволили скоротити втрати від експлойтів на 90% з 2020 року.
07 Інвесторський гайд: Обережність — понад усе
Для інвесторів цей інцидент — суворе нагадування: навігація у світі DeFi вимагає пильності:
- Виведіть кошти з уражених пулів: негайно заберіть активи з пулів Balancer V2, щоб уникнути подальших втрат
- Відкличте дозволи: скористайтеся Revoke, DeBank або Etherscan для скасування дозволів смарт-контрактів для адрес Balancer
- Обирайте аудійовані проєкти: віддавайте перевагу протоколам, які поєднують аудит смарт-контрактів із моніторингом у реальному часі та механізмами аварійного відключення
- Використовуйте мультипідписні гаманці: зменшуйте ризик єдиної точки відмови, особливо для великих сум
Погляд у майбутнє
Станом на 4 листопада останні оновлення свідчать, що зловмисник Balancer активно обмінює викрадені токени ліквідного стейкінгу на ETH через Cow Protocol. Ончейн-аналітики фіксують конвертацію активів зловмисника у різних мережах у ETH, USDC та інші основні токени.
Офіційна команда Balancer запропонувала 20% винагороду «білим хакерам» за повернення викрадених активів, дійсну протягом 48 годин. Проте надії на відновлення зникають.
Для спостерігачів DeFi залишається соціальним експериментом; для учасників кожен експлойт — це дорогий урок; для індустрії побудова стійкої DeFi-екосистеми — це ціна зрілості.
