اختراق بروتوكول الموازن: ماذا حدث؟

عانت Balancer ، وهي واحدة من أكثر صناع السوق الآلي رسوخا في Ethereum ، مما يبدو أنه أكبر استغلال لها على الإطلاق.

تم استنزاف أكثر من 100 مليون دولار من الأصول الرقمية من خزائنها في هجوم متطور أرسل موجات صدمة عبر النظام البيئي للعملات المشفرة.

استنزاف الملايين من خزائن Balancer

في 3 نوفمبر 2025 ، بدأت شركات أمن blockchain في دق ناقوس الخطر بعد أن أظهرت البيانات على السلسلة تدفقات هائلة من عقد قبو Balancer الرئيسي.

وفقا ل PeckShield ، تم سحب أصول تزيد قيمتها عن 128 مليون دولار - بما في ذلك osETH و WETH و wstETH - من "0xBA1 ... BF2C8 "العنوان.

تم نقل الأصول المسروقة بسرعة إلى محافظ خارجية ، حيث قامت محفظة رئيسية واحدة بدمج عشرات الملايين من الدولارات عبر سلاسل متعددة.

سرعان ما أكدت Balancer الوعي ب "الاستغلال المحتمل الذي يؤثر على تجمعات Balancer V2" ، مشيرة إلى أن فرقها الهندسية والأمنية كانت تحقق على وجه السرعة.

أثر الاستغلال على خزائن الإصدار 2 من Balancer ، والتي تحتوي على جميع الرموز المميزة من كل تجمع Balancer في عقد مركزي بدلا من عقود تجمع منفصلة.

يبدو أن هذا التصميم ، الذي تم تقديمه لتبسيط إنشاء المجمع وإدارته ، قد خلق الآن نقطة ضعف واحدة استغلها المهاجمون.

كيف عمل الاستغلال

يشير التحليل المبكر من قبل شركات الأمن Decurity و PeckShield إلى وجود خلل في التحكم في الوصول في وظيفة manageUserBalance في Balancer.

نشأ الخطأ من فحص validateUserBalanceOp ، والذي قارن بشكل غير صحيح msg.sender مع op.sender الذي يوفره المستخدم.

سمح هذا الخلل المنطقي للمهاجمين بتشغيل عمليات سحب داخلية غير مصرح بها باستخدام عملية UserBalanceOpKind.WITHDRAW_INTERNAL - مما مكنهم بشكل فعال من استنزاف الأموال من خزينة Balancer الأساسية دون إذن.

قدم BlockSec Phalcon لاحقا نظرة أعمق على الآليات الكامنة وراء الاستغلال.

وصفته الشركة بأنه هجوم معقد للغاية تلاعب بالثوابت المستخدمة لحساب أسعار Balancer Pool Token (BPT).

في Arbitrum ، على سبيل المثال ، نفذ المهاجم سلسلة من المقايضات التي شوهت حساب سعر المجمع من خلال استغلال أخطاء التقريب.

من خلال خفض سعر BPT ، تمكن المهاجم من الاستفادة من مقايضة الدفعات ثم استعادة التوازن ، مما أدى إلى جني الملايين في هذه العملية.

ينتشر تأثير الاختراق عبر السلاسل والشوكات

لم يقتصر هجوم Balancer على Ethereum.

لاحظ المحللون تدفقات خارجة منسقة عبر عدة سلاسل ، بما في ذلك Sonic و Polygon و Base.

كما تعرضت المشاريع المتشعبة التي تعتمد على البنية التحتية ل Balancer. أكدت Beets Finance ، وهي إحدى هذه الشوكات ، خسائر بحوالي 3 ملايين دولار.

ذكرت Cyvers Alerts أن إحدى محافظ المهاجم قد تم تمويلها من خلال Tornado Cash قبل بدء الاستغلال.

تلقى العنوان لاحقا أكثر من 84 مليون دولار عبر سلاسل متعددة ، مما أثار مخاوف جدية بشأن الغسيل المحتمل من خلال الخلاطات اللامركزية والجسور عبر السلاسل.

في خضم الفوضى ، سحبت محفظة الحيتان التي كانت غير نشطة لأكثر من ثلاث سنوات 6.5 مليون دولار من Balancer ، على ما يبدو خوفا من أن الوضع قد يزداد سوءا.

الاختراق الرئيسي الثالث ل Balancer

يمثل هذا الاستغلال الأخير ثالث خرق رئيسي ل Balancer منذ عام 2020.

تضمنت الأولى الرموز الانكماشية وتكلف حوالي 500,000 دولار ، بينما استهدفت الثانية في عام 2023 "مجمعاتها المعززة" ، مما أدى إلى خسائر بقيمة 900,000 دولار تقريبا.

هذه المرة ، أصبح النطاق أكبر بشكل كبير - مما يجعله أحد أكثر هجمات DeFi ضررا لعام 2025.

كان رد فعل رمز BAL الأصلي الخاص ب Balancer حادا على الأخبار ، حيث انخفض أكثر من 10٪ خلال اليوم وأكثر من 15٪ من أعلى مستوى أسبوعي.

مع وجود أكثر من 750 مليون دولار من القيمة الإجمالية قبل الهجوم ، يثير الحادث مخاوف متجددة بشأن مخاطر أنظمة العقود الذكية المعقدة وهشاشة البنية التحتية للتمويل اللامركزي المترابطة.