Balancerのコード問題により1億以上の損失、DeFi業界にほぼ壊滅的な打撃

原文标题：《老牌 DeFi 沦陷：Balancer V2 合约漏洞，超 1.1 亿美元资产被盗》

原文作者：Wenser，Odaily

注：本日、DeFiプロトコルBalancerがハッキング攻撃を受け、現在盗まれた資金規模はすでに1.16億ドルを突破しています。複数のプロジェクトが自救措置を講じています：Lidoは影響を受けていないBalancerポジションをすでに撤退し、Berachainはネットワークを一時停止し、BEX上のBalancer V2関連の脆弱性を緊急ハードフォークで修正することを発表しました。

さらに、Flashbots戦略ディレクターおよびLido戦略アドバイザーのHasuは、「Balancer v2は2021年にローンチされて以来、最も注目され、頻繁にフォークされるスマートコントラクトの一つとなっています。これは非常に憂慮すべきことです。このように長期間稼働しているコントラクトが攻撃されるたびに、DeFiの普及プロセスは6～12ヶ月遅れることになります。」と述べています。以下、原文内容です：

11月3日、老舗DeFiプロトコルBalancerが7,000万ドル超の資産流出を報告されました。その後、この情報は複数の情報源によって確認され、盗難資金の規模は拡大し続けています。執筆時点で、Balancerから盗まれた資産額は1.16億ドルを超えています。Odailyは本記事でこの件について簡単に分析します。

Balancer流出の詳細：損失資金は1.16億ドル超、主因はv2プールのスマートコントラクト脆弱性

オンチェーン情報によると、Balancer攻撃者による盗難資金の規模はすでに1.16億ドルを突破しており、主な盗難資産はWETH、wstETH、osETH、frxETH、rsETH、rETHで、ETH、Base、Sonicなど複数のチェーンに分布しています。その内訳は：

· Ethereumチェーン上の盗難資産：約1億ドル；

· Arbitrumチェーン上の盗難資産：約800万ドル；

· Baseチェーン上の盗難資産：約395万ドル；

· Sonicチェーン上の盗難資産：340万ドル超；

· Optimismチェーン上の盗難資産：約157万ドル；

· Polygonチェーン上の盗難資産：約23万ドル。

暗号KOLのAdiは、初期調査によれば、今回の攻撃は主にBalancerのV2ボールトおよび流動性プールを標的とし、スマートコントラクトのインタラクションにおける脆弱性を利用したものと述べています。オンチェーン調査員によると、悪意あるコントラクトが流動性プールの初期化時にVault呼び出しを操作しました。不適切な認可とコールバック処理により、攻撃者は保護措置を回避し、相互接続された流動性プール間で不正なSwapや残高操作を行い、数分で資産を素早く盗み出しました。

現時点の情報によれば、秘密鍵の漏洩はなく、これは純粋なスマートコントラクトの脆弱性です。

監査機関kebabsecの監査人であり、citreaの開発者である@okkothejawaも、「（@moo9000が指摘したチェックエラー）は根本原因ではないかもしれません。なぜなら、すべての『manageUserBalance』呼び出しでops.sender == msg.senderだからです。セキュリティ脆弱性は、資産を引き出すコントラクトが作成される前のトランザクションで発生した可能性があり、それがBalancerボールトの状態変化を引き起こしました。」と述べています。

Balancer公式も、「公式チームはBalancer v2プールに影響を与える潜在的な脆弱性を認識しています。エンジニアリングおよびセキュリティチームが最優先で調査を進めています。さらなる情報が得られ次第、検証済みのアップデートと今後の対応を直ちに共有します。」と外部にコメントしています。

また、潜在的な資産損失リスクがあるBerachainも即座に対応しました。Berachain Foundationが声明を発表した後、Berachain創設者のSmokey The Beraは、「Beraノードグループは、BEX（主にUSDe三池）に影響を与えるBalancerの脆弱性を防ぐため、パブリックチェーンの運用を自主的に一時停止しました。」と述べました。

· EthenaチームにBeraブリッジの無効化を依頼

· レンディング市場でUSDeの入金を無効化/一時停止

· HONEYトークンのミントおよび交換を一時停止

· CEX等と連携し、ハッカーアドレスがブラックリストに登録されるようにする

私たちの目標は、できるだけ早く資金を回収し、すべてのLPの安全を確保することです。Berachainチームは準備が整い次第、関連ノードバリデーターおよびサービスプロバイダーにバイナリファイルをリリースします（このプールには非ネイティブ資産が含まれているため、Beraトークン残高の修正だけでなく、いくつかのスロット再構築なども含まれます）。」

Balancer流出、最も緊張しているのは暗号クジラ

老舗DeFiプロトコルとして、Balancerのユーザーは今回の流出事件で最も直接的な影響を受ける存在です。現在のユーザーができることは以下の通りです：

· Balancer v2プールから資金を引き出し、損失拡大を防ぐ；

· 承認の取り消し：Revoke、DeBank、またはEtherscanを使ってBalancerアドレスのスマートコントラクト権限を取り消し、潜在的なセキュリティリスクを回避する；

· 継続的な注視：Balancer攻撃者の次の動きや、他のDeFiプロトコルへの連鎖的な影響があるかどうかを密接に監視する。

また、今回の流出事件では、3年間眠っていた暗号クジラが市場の注目を集めました。

LookonChainのモニタリングによると、3年間休眠していた暗号クジラ0x0090がBalancerプラットフォームの脆弱性発生後に目覚め、急いでBalancerから自分の650万ドル相当の資産を引き出しました。

今後の進展：ハッカーがトークンスワップを開始

オンチェーンアナリストの余烬によると、Balancer流出事件のハッカーはすでに多くの流動性ステーキングトークン（LST）をETHに交換し始めており、以前には10osETHを10.55ETHに交換したこともあります。

オンチェーン情報によると、ハッカーはCow Protocolを通じて複数チェーン上の盗難資産をETHやUSDCなどに次々と交換しています。現時点では、これらの盗難資産を取り戻す見込みは非常に薄い状況です。

今後、Balancerがプロトコルコントラクトの脆弱性をタイムリーに特定し、盗難資産を迅速に回収できるか、または対応する解決策を提供できるかどうかについて、Odailyは引き続きフォローしていきます。

原文リンク