Hack Balancer Protocol: co się stało?

Balancer, jeden z najbardziej uznanych automatycznych animatorów rynku Ethereum, ucierpiał z powodu tego, co wydaje się być największym w historii exploitem.

Ponad 100 milionów dolarów w aktywach cyfrowych zostało wydrenowanych z jego skarbców w wyrafinowanym ataku, który wywołał fale uderzeniowe w ekosystemie kryptowalut.

Miliony wydrenowane ze skarbców Balancera

3 listopada 2025 r. firmy zajmujące się bezpieczeństwem blockchain zaczęły bić na alarm po tym, jak dane on-chain wykazały ogromne odpływy z głównego kontraktu skarbca Balancer.

Według PeckShield, aktywa o wartości ponad 128 milionów dolarów – w tym osETH, WETH i wstETH – zostały wycofane z "0xBA1... BF2C8".

Skradzione aktywa zostały szybko przeniesione do zewnętrznych portfeli, przy czym jeden główny portfel konsolidował dziesiątki milionów dolarów w wielu łańcuchach.

Balancer wkrótce potwierdził świadomość "potencjalnego exploita wpływającego na pule Balancer V2", stwierdzając, że jego zespoły inżynieryjne i bezpieczeństwa pilnie prowadzą dochodzenie.

Exploit wpłynął na skarbce Balancera w wersji 2, które przechowują wszystkie tokeny z każdej puli Balancer w centralnym kontrakcie, a nie w oddzielnych kontraktach puli.

Wydaje się, że ten projekt, wprowadzony w celu uproszczenia tworzenia puli i zarządzania nią, stworzył pojedynczy punkt luki w zabezpieczeniach, który wykorzystali osoby atakujące.

Jak działał exploit

Wczesna analiza przeprowadzona przez firmy zajmujące się bezpieczeństwem Decurity i PeckShield wskazuje na wadliwą kontrolę dostępu w funkcji manageUserBalance Balancera.

Błąd powstał w wyniku sprawdzenia validateUserBalanceOp, które niepoprawnie porównało msg.sender z dostarczonym przez użytkownika op.sender.

Ta luka logiczna pozwoliła atakującym na uruchomienie nieautoryzowanych wypłat wewnętrznych za pomocą operacji UserBalanceOpKind.WITHDRAW_INTERNAL — skutecznie umożliwiając im drenowanie środków z głównego skarbca Balancera bez pozwolenia.

BlockSec Phalcon przedstawił później głębsze spojrzenie na mechanikę stojącą za exploitem.

Firma opisała to jako wysoce wyrafinowany atak, który manipulował niezmiennikiem używanym do obliczania cen Balancer Pool Token (BPT).

Na przykład w Arbitrum atakujący wykonał serię swapów, które zniekształciły kalkulację ceny puli, wykorzystując błędy zaokrąglenia.

Obniżając cenę BPT, atakujący był w stanie czerpać zyski z wymiany partii, a następnie przywrócić saldo, zgarniając przy tym miliony.

Wpływ włamania rozprzestrzenia się na łańcuchy i forki

Atak Balancera nie ograniczał się do Ethereum.

Analitycy zaobserwowali skoordynowane odpływy w kilku sieciach, w tym Sonic, Polygon i Base.

Ucierpiały również rozwidlone projekty, które opierają się na infrastrukturze Balancera. Beets Finance, jeden z takich widelców, potwierdził straty w wysokości około 3 milionów dolarów.

Cyvers Alerts poinformowało, że jeden z portfeli atakującego został zasilony przez Tornado Cash przed rozpoczęciem exploita.

Adres ten otrzymał następnie ponad 84 miliony dolarów w wielu łańcuchach, co budzi poważne obawy o potencjalne pranie pieniędzy za pośrednictwem zdecentralizowanych mikserów i mostów międzyłańcuchowych.

W samym środku chaosu portfel wieloryba, który był nieaktywny przez ponad trzy lata, wycofał 6,5 miliona dolarów z Balancera, najwyraźniej z obawy, że sytuacja może się pogorszyć.

Trzeci poważny hack dla Balancera

Ten najnowszy exploit jest trzecim poważnym naruszeniem Balancera od 2020 roku.

Pierwszy dotyczył tokenów deflacyjnych i kosztował około 500 000 USD, podczas gdy drugi w 2023 r. był wymierzony w "wzmocnione pule", co spowodowało prawie 900 000 USD strat.

Tym razem skala jest wykładniczo większa – co czyni go jednym z najbardziej szkodliwych ataków DeFi w 2025 roku.

Natywny token BAL firmy Balancer ostro zareagował na tę wiadomość, spadając o ponad 10% w ciągu dnia i ponad 15% od tygodniowego maksimum.

Z ponad 750 milionami dolarów łącznej wartości zablokowanej przed atakiem, incydent budzi ponowne obawy dotyczące ryzyka związanego ze złożonymi systemami inteligentnych kontraktów i kruchości wzajemnie połączonej infrastruktury DeFi.

Śledztwo w toku

Na razie zespół Balancera nie opublikował szczegółowej sekcji zwłok, chociaż dochodzenia są w toku w wielu firmach ochroniarskich.

Portfel atakującego pozostaje aktywny, a żadne ze skradzionych środków nie zostały odzyskane.

Analitycy ostrzegają, że jeśli podobne luki w zabezpieczeniach będą istniały w forkach Balancera lub zintegrowanych protokołach, mogą nastąpić większe straty.