Balancer, jedna z najwcześniejszych i najbardziej szanowanych zdecentralizowanych giełd w DeFi, miała poważny atak 3 listopada 2025 roku, który spowodował utratę ponad 120 milionów dolarów z jej protokołu V2 oraz wersji forkowanych.

Oszustwo zostało spowodowane przez drobny błąd zaokrąglania arytmetycznego ukryty głęboko w kodzie inteligentnego kontraktu protokołu.

Chociaż problem wydawał się drobny, wystarczył, aby pozwolić atakującym manipulować saldami tokenów i opróżniać pule płynności na wielu blockchainach.

To wydarzenie nie tylko wstrząsnęło zaufaniem do bezpieczeństwa DeFi, ale także wywołało dyskusje na temat rzetelności audytów i standardów testowania kontraktów inteligentnych.

Jak doszło do wyzysku Balancera

Według firmy zajmującej się bezpieczeństwem blockchain, SlowMist, luka pochodziła z błędu utraty precyzji w Kompozycyjnych Stabilnych Pula Balancera. Puli te zostały zaprojektowane, aby wspierać prawie równe pary aktywów, takie jak USDC i USDT, które w dużym stopniu opierają się na precyzyjnej arytmetyce.

Eksploitacja rozpoczęła się, gdy napastnicy wykorzystali drobny błąd zaokrąglenia w tym, jak kod Balancera obliczał czynniki skalowania dla wymiany tokenów.

Atakujący najpierw wymienił tokeny puli Balancer na tokeny płynności, aby zmniejszyć dostępną płynność, co ułatwiło zniekształcenie proporcji tokenów. Następnie przeprowadził serię szybkich transakcji z udziałem tokenów takich jak osETH i WETH.

Każda transakcja generowała małą różnicę zaokrąglenia arytmetycznego, a chociaż te wariacje były minimalne, gromadziły się w trakcie setek transakcji.

Korzystając z funkcji batch swap w Balancerze, która umożliwia przeprowadzanie wielu wymian w jednej transakcji, napastnik mógł szybko zwiększyć te małe różnice. Z czasem spowodowało to, że protokół obliczał wyższy wynik tokenów niż należna kwota, co dawało napastnikowi sztuczny zysk.

Po zgromadzeniu wystarczającej przewagi, napastnik cofnął wcześniejsze transakcje, aby dane on-chain wydawały się normalne, ukrywając manipulację.

Analiza blockchaina ujawniła, że skradzione środki zostały przeniesione przez Tornado Cash, aby ukryć ich pochodzenie, a następnie skierowane przez wiele sieci, w tym Arbitrum, Polygon, Base, Avalanche i Optimism.

Ostateczne straty oszacowano na około 116 milionów dolarów przez zespoły sądowe. Reakcja awaryjna Balancera wstrzymała nowe pule, ale starsze pule bez zabezpieczeń pozostały narażone, co doprowadziło do znacznych strat finansowych.

Czytaj także:

To, co ujawnili naruszenia o słabościach DeFi

Eksploit Balancer ujawnił krytyczną słabość w DeFi: nawet dobrze audytowane protokoły nie są odporne na błędy precyzji matematycznej.

Balancer przeszedł wcześniej więcej niż dziesięć audytów przeprowadzonych przez wiodące firmy, takie jak OpenZeppelin, Trail of Bits i Certora. Mimo tych przeglądów, błąd utrzymywał się w funkcji znanej jako „upscale”, która konwertowała wartości tokenów podczas wymian zbiorczych.

Problem wynikał z tego, jak arytmetyka całkowita zaokrąglała wartości ułamkowe, nieco faworyzując traderów kosztem pul płynności. Ta drobna przewaga mogła być powtarzana w nieskończoność, aby nieuczciwie wydobywać tokeny.

To, co uczyniło to zdarzenie jeszcze bardziej niepokojącym, to fakt, że Balancer miał podobny problem z zaokrąglaniem dwa lata wcześniej, chociaż ta wersja spowodowała znacznie mniejsze straty.

Wynik sugerował, że precyzja arytmetyczna pozostaje niedocenianym obszarem w rozwoju DeFi.

Smart kontrakty często opierają się na wzajemnie zależnych obliczeniach, a pojedyncza rozbieżność zaokrąglenia może się pomnożyć w tysiącach transakcji.

Po eksploitacji całkowita wartość zablokowana Balancera spadła gwałtownie. Dane z DeFiLlama pokazały, że jego TVL spadł z 442 milionów dolarów do 214 milionów dolarów w ciągu 24 godzin, a później spadł poniżej 190 milionów dolarów.

Dostawcy płynności rzucili się do wycofywania funduszy, obawiając się dalszych exploitów. W odpowiedzi, Balancer wyłączył tworzenie nowych Kompozytowych Puli Stabilnych, wstrzymał emisje z dotkniętych wskaźników oraz aktywował tryb wypłat ratunkowych, aby umożliwić użytkownikom bezpieczne odzyskiwanie aktywów.

Partnerzy branżowi, tacy jak StakeWise DAO i Fundacja Berachain, przyczynili się do procesu regeneracji.

StakeWise udało się odzyskać około 19 milionów dolarów w osETH, podczas gdy Berachain zamroził 12 milionów dolarów w skradzionych funduszach. Gnosis i Monerium również zamroziły około 1,3 miliona euro w stablecoinach EURe.

Pomimo tych wysiłków, większość funduszy pozostała nieodnaleziona, ponieważ atakujący przekształcił aktywa w ETH i rozproszył je w wielu portfelach.

Negocjacje Balancera i reakcja branży

W zaskakującym zwrocie wydarzeń, Balancer Labs rozpoczęło negocjacje z hakerem 8 listopada 2025 roku, zaledwie pięć dni po eksploitacji.

Programiści protokołu wysłali wiadomość on-chain, oferując nagrodę napastnikowi w zamian za zwrot skradzionych funduszy. Zapewnili, że nie będą podejmowane żadne działania prawne ani śledcze, jeśli haker współpracuje do następnego dnia.

Jednakże, jeśli atakujący odmówił, Balancer obiecał eskalować sprawę przez forensykę on-chain oraz potencjalne kanały prawne.

Ruch ten zademonstrował gotowość Balancera do priorytetowego traktowania odzyskiwania funduszy nad karaniem, strategię, która okazała się skuteczna w poprzednich hackach DeFi.

Podobne podejścia pomogły projektom takim jak Beanstalk odzyskać utracone aktywa, pokazując, że negocjacje mogą czasami prowadzić do pokojowych rozwiązań. Balancer ogłosił także, że sygnaliści, którzy pomogli w zidentyfikowaniu hakera, otrzymają odszkodowanie.

Odpowiedź "sali wojennej" protokołu polegała na ścisłej współpracy z firmami zajmującymi się cyberbezpieczeństwem oraz badaczami blockchain, aby śledzić pozostałe skradzione fundusze.

System monitorowania Hypernative, który automatycznie wstrzymał nowe pule podczas ataku, został uznany za powód ograniczenia jeszcze większych strat.

To zdarzenie na nowo wzbudziło dyskusje w sektorze DeFi na temat potrzeby lepszego audytowania, precyzyjnego zarządzania i systemów monitorowania w czasie rzeczywistym.

Eksperci zaapelowali o nowe standardy, które obejmują ekstremalne testy stresowe, symulowane ataki oraz wykrywanie anomalii w łańcuchu, aby zapobiec podobnym eksploitom opartym na arytmetyce w przyszłości.

W międzyczasie szerszy rynek kryptowalut pozostał stosunkowo stabilny. Ethereum, które było gospodarzem dużej części skradzionej płynności, handel odbywał się w okolicach 3,434 USD przy kapitalizacji rynkowej przekraczającej 414 miliardów USD. Analitycy zauważyli, że szybkie opanowanie exploitacji pomogło zapobiec szerszej panice na rynku.

Przeczytaj również: 

Jak zarobić 8% na USDT bez blokady

Wnioski

Eksploit Balancer z listopada 2025 roku jest jednym z największych i najbardziej technicznie złożonych naruszeń DeFi w tym roku. Pojedynczy błąd zaokrąglenia arytmetycznego doprowadził do utraty ponad 120 milionów dolarów w różnych sieciach.

Chociaż Balancer i jego partnerzy odzyskali część skradzionych aktywów, atak ujawnił głębokie luki w protokołach DeFi, szczególnie tych związanych z precyzją matematyczną i bezpieczeństwem międzyłańcuchowym.

Dla traderów szukających bezpieczniejszego i bardziej niezawodnego doświadczenia,Bitrueoferuje bezpieczną platformę do kupowania, sprzedawania i przechowywania aktywów kryptograficznych. Jego solidna struktura zabezpieczeń, przyjazny dla użytkownika projekt i stała przezroczystość sprawiają, że jest to jedna z najbardziej zaufanych giełd do bezpiecznego zarządzania aktywami cyfrowymi.

FAQ

Co spowodowało exploit Balancera?

Eksploatacja była spowodowana małym błędem zaokrąglenia w obliczeniach używanych w inteligentnych kontraktach Balancera, co pozwoliło atakującym na manipulowanie bilansami tokenów i opróżnianie pule płynności.

Ile pieniędzy zostało skradzionych w exploicie Balancer?

Całkowita strata oszacowano na około 120 milionów dolarów w ramach wielu sieci, w tym Ethereum, Base, Arbitrum i Polygon.

Czy Balancer był w stanie odzyskać jakieś środki?

Tak, część funduszy została odzyskana dzięki wspólnym wysiłkom zaangażowanym przez StakeWise DAO, Berachain i Gnosis, chociaż większość pozostaje nieodzyskana.

Czy Balancer skontaktował się z hakerem?

Tak, Balancer wysłał wiadomość on-chain oferującą nagrodę hakerowi w zamian za zwrot skradzionych aktywów bez ponoszenia konsekwencji prawnych.

Jak mogą inwestorzy chronić swoje kryptowaluty przed podobnymi exploitami?

Używając bezpiecznych i regulowanych platform, takich jakBitruejest jednym z najlepszych sposobów, aby zapewnić bezpieczeństwo Twoich aktywów kryptograficznych. Bitrue wprowadza silne środki bezpieczeństwa i oferuje przejrzyste środowisko handlowe dla wszystkich użytkowników.

Ostrzeżenie dla inwestorów

Chociaż szum związany z kryptowalutami był ekscytujący, pamiętaj , że przestrzeń kryptowalutowa może być niestabilna. Zawsze przeprowadzaj własne badania, oceniaj swoje możliwości ryzyka i rozważaj długoterminowy potencjał każdej inwestycji.

Bitrue Oficjalna Strona:

Strona internetowa:https://www.bitrue.com/

Zarejestruj się:https://www.bitrue.com/user/register