Эксплуатация Balancer: Как мелкая округляющая ошибка стала причиной утечки DeFi на $120 миллионов

Балансер, один из первых и наиболее уважаемых децентрализованных бирж в DeFi, столкнулся с серьезным эксплойтом 3 ноября 2025 года, в результате которого было выведено более 120 миллионов долларов из его протокола V2 и форкнутых версий.

Нарушение было вызвано крошечной ошибкой округления, скрытой глубоко в коде смарт-контракта протокола.

Хотя проблема казалась незначительной, этого было достаточно, чтобы позволить злоумышленникам манипулировать баланса токенов и осушать ликвидные пулы на нескольких блокчейнах.

Это событие не только подорвало доверие к безопасности DeFi, но также вызвало обсуждения о надежности аудитов и стандартов тестирования для смарт-карт.

Как развивалась эксплуатация Balancer

Согласно информации от компании по безопасности блокчейна SlowMist, уязвимость возникла из-за ошибки потери точности в Композируемых Стейбл Пулаx Balancer. Эти пулы были созданы для поддержки почти равных пар активов, таких как USDC и USDT, которые сильно зависят от точной арифметики.

Эксплойт начался, когда злоумышленники воспользовались незначительной ошибкой округления в том, как код Balancer рассчитывал коэффициенты масштабирования для обмена токенами.

Атакующий сначала обменял токены Balancer Pool на токены ликвидности, чтобы уменьшить доступную ликвидность, что упростило искажение соотношений токенов. Затем они выполнили ряд быстрых сделок с такими токенами, как osETH и WETH.

Каждая сделка генерировала небольшое арифметическое расхождение, и, хотя эти вариации были минимальными, они накапливались за сотни транзакций.

Используя функцию пакетного обмена Balancer, которая позволяет выполнять несколько обменов в одной транзакции, злоумышленник смог быстро увеличить эти небольшие несоответствия. Со временем это привело к тому, что протокол начал рассчитывать больший вывод токенов, чем сумма долга, предоставляя злоумышленнику искусственную прибыль.

После накопления достаточного преимущества, злоумышленник обратил предыдущие сделки, чтобы сделать данные в блокчейне нормальными, скрывая манипуляции.

Анализ блокчейна показал, что похищенные средства были переданы через Tornado Cash, чтобы скрыть их происхождение, а затем направлены через несколько сетей, включая Arbitrum, Polygon, Base, Avalanche и Optimism.

Финальные потери были оценены около 116 миллионов долларов судебными экспертами. Аварийная реакция Balancer приостановила новые пулы, но старые пулы без защитных замков оставались уязвимыми, что привело к значительным финансовым потерям.

Читайте также: Заработайте 15% на DOGE: Руководство по Bitrue Power Piggy

Что раскрыла утечка о слабостях DeFi

Эксплуатация Balancer выявила критическую слабость в DeFi: даже хорошо проверенные протоколы не застрахованы от ошибок математической точности.

Балансер ранее прошел более десяти проверок ведущими компаниями, такими как OpenZeppelin, Trail of Bits и Certora. Несмотря на эти проверки, ошибка сохранялась в функции, известной как "upscale", которая преобразовывала значения токенов во время пакетных свопов.

Проблема заключалась в том, как целочисленная арифметика округляла дробные значения, несколько предпочитая трейдерам по сравнению с ликвидностными пулами. Это небольшое преимущество могло быть бесконечно повторяемо для несправедливого извлечения токенов.

Что делало инцидент еще более тревожным, так это то, что Balancer столкнулся с аналогичной проблемой округления два года назад, хотя та версия привела к гораздо меньшим потерям.

Рецидив указывает на то, что арифметическая точность остается невостребованной областью в разработке DeFi.

Умные контракты часто зависят от взаимозависимых расчетов, и одна единственная ошибка округления может увеличиться до тысяч транзакций.

После эксплуатации общая заблокированная стоимость Balancer резко упала. Данные от DeFiLlama показали, что его TVL упал с 442 миллионов долларов до 214 миллионов долларов в течение 24 часов, а затем снизился ниже 190 миллионов долларов.

Поставщики ликвидности поспешили вывести средства, опасаясь дальнейших злоупотреблений. В ответ Balancer отключил создание новых Компонованных Стабильных Пулов, приостановил эмиссию из затронутых измерителей и активировал режим восстановления для вывода, чтобы позволить пользователям безопасно вернуть активы.

Промышленные партнеры, такие как StakeWise DAO и Фонд Berachain, внесли свой вклад в процесс восстановления.

StakeWise удалось восстановить около 19 миллионов долларов в виде osETH, в то время как Berachain заморозил 12 миллионов долларов похищенных средств. Gnosis и Monerium также заморозили около 1,3 миллиона евро в стабильных монетах EURe.

Несмотря на эти усилия, большинство средств остались неRecovered, так как злоумышленник конвертировал активы в ETH и разбросал их по нескольким кошелькам.

Переговоры Балансера и реакция отрасли

В неожиданном повороте событий, Balancer Labs начала переговоры с хакером 8 ноября 2025 года, всего через пять дней после эксплуатации.

Разработчики протокола отправили сообщение в цепочке, предлагая награду атакующему в обмен на возвращение украденных средств. Они уверили, что никаких юридических или следственных действий предпринято не будет, если хакер согласится сотрудничать до следующего дня.

Однако, если нападающий откажется, Balancer пообещал эскалировать дело через on-chain судебные экспертизы и возможные правовые каналы.

Этот шаг продемонстрировал готовность Balancer ставить восстановление средств выше наказания, стратегия, которая показала свою эффективность в предыдущих хакерах DeFi.

Похожие подходы помогли проектам, таким как Beanstalk, восстановить утраченные активы, что показывает, что переговоры иногда могут привести к мирным решениям. Balancer также объявил, что информаторы, которые помогли в идентификации хакера, получат компенсацию.

Ответ "военной комнаты" протокола включал тесное сотрудничество с компаниями по кибербезопасности и исследователями блокчейна для отслеживания оставшихся украденных средств.

Система мониторинга Hypernative, которая автоматически приостанавливала новые пулы во время атаки, была признана заслугой в предотвращении еще больших потерь.

Этот инцидент снова инициировал обсуждения в секторе DeFi о необходимости улучшения аудита, точной обработки и систем мониторинга в реальном времени.

Эксперты призвали установить новые стандарты, которые включают экстремальные стресс-тесты, смоделированные атаки и обнаружение аномалий в цепочке, чтобы предотвратить аналогичные эксплуатационные уязвимости, основанные на арифметике, в будущем.

В то же время, более широкий рынок криптовалют оставался относительно стабильным. Эфириум, который хранил большую часть украденной ликвидности, торговался около $3,434 с рыночной капитализацией более $414 миллиардов. Аналитики отметили, что быстрая локализация уязвимости помогла предотвратить более широкий рынок паники.

Читать также: Как заработать 8% на USDT без блокировки

Заключение

Эксплойт Balancer в ноябре 2025 года оказался одним из крупнейших и самых технически сложных нарушений в DeFi за год. Одна ошибка округления привела к потере более 120 миллионов долларов на нескольких сетях.

Хотя Balancer и его партнеры восстановили часть украденных активов, атака выявила глубокие уязвимости в протоколах DeFi, особенно в тех, которые связаны с математической точностью и безопасностью межсетевых соединений.

Для трейдеров, ищущих более безопасный и надежный опыт,Битруэпредлагает безопасную платформу для покупки, продажи и хранения криптоактивов. Ее надежная структура безопасности, удобный дизайн и постоянная прозрачность делают её одной из самых доверенных бирж для безопасного управления цифровыми активами.

Часто задаваемые вопросы (FAQ)

Что вызвало эксплойт Balancer?

Эксплойт был вызван небольшой ошибкой округления в арифметике, используемой в смарт-контрактах Balancer, что позволило злоумышленникам манипулировать балансами токенов и истощать ликвидные пулы.

Сколько было украдено в результате эксплойта Balancer?

Общая сумма потерь была оценена примерно в 120 миллионов долларов в различных сетях, включая Ethereum, Base, Arbitrum и Polygon.

Был ли Balancer в состоянии вернуть какие-либо средства?

Да, некоторые средства были возвращены благодаря совместным усилиям, в которых участвовали StakeWise DAO, Berachain и Gnosis, хотя большинство из них все еще не возвращено.

Служба поддержки: Балансер связался с хакером?

Да, Balancer отправил ончейн-сообщение с предложением о вознаграждении хакеру в обмен на возвращение украденных активов без уголовной ответственности.

Как трейдеры могут защитить свои криптовалюты от подобных уязвимостей?

Используя безопасные и регулируемые платформы, такие какБитруе

Инвесторская осторожность

Хотя ажиотаж вокруг криптовалюты был захватывающим, помните, что криптовалютное пространство может быть волатильным. Всегда проводите свои исследования, оценивайте свою толерантность к риску и учитывайте долгосрочный потенциал любых инвестиций.

Официальный веб-сайт Bitrue:

Вебсайт:https://www.bitrue.com/

Зарегистрироваться:https://www.bitrue.com/user/register

Отказ от ответственности: Высказывания, содержащиеся в данном документе, принадлежат исключительно автору и не отражают взгляды этой платформы. Эта платформа и ее аффилированные лица отказываются от какой-либо ответственности за точность или приемлемость предоставленной информации. Она предназначена исключительно для информационных целей и не является финансовым или инвестиционным советом.