Как 11 аудитов не смогли предотвратить взлом Balancer на 128 миллионов $ и переопределение рисков DeFi

На протяжении многих лет Balancer считался одним из самых надежных институтов DeFi (Децентрализованные финансы), протоколом, который пережил несколько медвежьих рынков, аудитов и интеграций без скандалов.

Однако эта репутация рухнула 3 ноября, когда компания по блокчейн-безопасности PeckShield сообщила, что Balancer и несколько его форков подверглись активной эксплуатации, распространяющейся по нескольким цепочкам.

В течение нескольких часов исчезло более 128 миллионов долларов, оставив след из опустошенных пулов, замороженных протоколов и потрясенных инвесторов.

Данные PeckShield показали, что протокол платформы на Ethereum понес самые тяжелые потери - около 100 миллионов долларов. За ним следовал Berachain с 12,9 миллионами долларов, в то время как Arbitrum, Base и более мелкие форки, такие как Sonic, Optimism и Polygon, зафиксировали меньшие, но все же значительные кражи.

По мере развития ситуации Balancer признал "потенциальную эксплуатацию, влияющую на пулы Balancer v2", заявив, что его инженерные и охранные команды расследуют проблему с высоким приоритетом.

Однако это признание мало что сделало для замедления вывода средств через интеграторы и форки.

К концу дня данные DeFiLlama показали, что общая заблокированная стоимость (TVL) Balancer уменьшилась на 46% до примерно 422 миллионов долларов с 770 миллионов долларов на момент публикации.

Что произошло?

Предварительная экспертиза от компании по блокчейн-безопасности Phalcon показала, что атакующий нацелился на токены пула Balancer (BPT), которые представляют доли пользователей в пулах ликвидности.

По данным компании, уязвимость возникла из-за того, как Balancer рассчитывал цены пула во время пакетных обменов. Манипулируя этой логикой, эксплуататор исказил внутренний ценовой канал, создав искусственный дисбаланс, который позволил им вывести токены до того, как система исправила себя.

Крипто-аналитик Ади написал:

Между тем, композиционная архитектура хранилища Balancer, которая долгое время хвалилась за свою гибкость, усилила ущерб. Поскольку хранилища могли динамически ссылаться друг на друга, искажение распространилось через взаимосвязанные пулы.

Интересно, что Конор Гроган из Coinbase отметил, что подход атакующего свидетельствовал о профессиональной сложности.

Гроган отметил, что адрес атакующего изначально был профинансирован 100 ETH из Tornado Cash, что подразумевает, что средства, вероятно, происходили из более ранних эксплуатаций.

"Люди обычно не паркуют 100 ETH в Tornado Cash для развлечения", - написал он, предполагая, что схема транзакций отражала опытного и ранее активного хакера.

Коллапс доверия к DeFi

Хотя сама эксплуатация была технической, ее влияние было психологическим.

Balancer долгое время считался консервативной площадкой для провайдеров ликвидности, местом для размещения активов и получения скромной, стабильной доходности. Его долговечность, аудиты и интеграции на ведущих платформах DeFi создавали иллюзию, что выносливость равна безопасности. Взлом 3 ноября разрушил этот нарратив за одну ночь.

Лефтерис Карапетсас, основатель крипто-платформы Rotki, назвал это "коллапсом доверия", а не просто взломом платформы DeFi.

Он осудил тот факт, что:

Эта реакция отразила более широкое настроение. На рынке, который ценит самостоятельное хранение и проверяемый код, уверенность тихо заменила доверие как скрытую основу DeFi.

Неудача Balancer показала, что даже математически обоснованные системы уязвимы для непредвиденной сложности.

Robdog, псевдонимный разработчик протокола Cork, сказал:

Последствия для DeFi

Эксплуатация Balancer произошла в деликатный момент для децентрализованных финансов, разрушив краткий период спокойствия. В октябре общие потери от взломов упали до годового минимума - всего 18 миллионов долларов, согласно PeckShield.

Однако с одним инцидентом в ноябре эта цифра уже превысила 120 миллионов долларов, что делает его третьим худшим месяцем для нарушений DeFi в 2025 году.

Между тем, эта атака подчеркивает фундаментальный парадокс в сердце DeFi: композиционность, функция, которая позволяет протоколам соединяться и строиться друг на друге, также усиливает системный риск.

Когда основной протокол, такой как Balancer, ломается, влияние мгновенно распространяется по сетям, которые от него зависят.

На Berachain валидаторы приостановили производство блоков, чтобы предотвратить заражение. Другие протоколы последовали с временными приостановками функций кредитования и мостов.

Эти быстрые реакции ограничили потери, но они также подчеркнули более широкую истину, показывающую, что DeFi работает без механизмов координации, которые стабилизируют традиционные финансы.

В этом пространстве нет регуляторов, центральных банков или обязательных страховок. Вместо этого управление кризисами сильно зависит от разработчиков и аудиторов, работающих в тандеме, часто в течение минут, чтобы сдержать последствия.

Учитывая это, Robdog сказал:

За пределами непосредственной технической потери, ущерб доверию может быть труднее восстановить.

Каждая крупная эксплуатация подрывает уверенность в обещании DeFi о саморегулирующемся коде. Для институциональных инвесторов, рассматривающих возможность участия в отрасли, повторяющиеся неудачи сигнализируют о том, что децентрализованные рынки остаются экспериментальными.

Карапетсас отметил:

Это восприятие уже формирует политику в крупных экономиках по всему миру.

Сухаил Какар, известный разработчик web3, подчеркнул отрезвляющую реальность после эксплуатации Balancer: даже множественные, высокопрофильные аудиты безопасности не могут гарантировать безопасность в DeFi.

Как он отметил, Balancer прошел более десяти аудитов, его основной контракт хранилища был проверен несколькими независимыми фирмами; тем не менее, протокол все равно пострадал от серьезного нарушения.

Точка зрения Какара подчеркивает растущее настроение в отрасли, что "проверено X" больше не является знаком непогрешимости; скорее, это отражает присущую сложность и непредсказуемость децентрализованных систем, где даже хорошо протестированный код может скрывать невидимые уязвимости.

Власти Соединенных Штатов разрабатывают рамки, которые введут регулирование протоколов DeFi. Наблюдатели отрасли ожидают, что эксплуатация Balancer ускорит эти усилия, поскольку политики борются с растущим риском продолжающейся интеграции между крипто и традиционной финансовой индустрией.

Пост "Как 11 аудитов не смогли остановить взлом Balancer на 128 миллионов долларов, переопределяющий риски DeFi" впервые появился на CryptoSlate.