Балансер, один з перших і найбільш шанованих децентралізованих бірж у DeFi, зазнав серйозної атаки 3 листопада 2025 року, внаслідок якої з його протоколу V2 та форкнутими версіями було виведено більше 120 мільйонів доларів.

Порушення сталося через крихітну арифметичну похибку округлення, заховану глибоко в коді смарт-контракту протоколу.

Хоча проблема здавалася незначною, її було достатньо, щоб дозволити зловмисникам маніпулювати балансами токенів та висмоктувати ліквідність з пулів у різних блокчейнах.

Ця подія не лише підривала довіру до безпеки DeFi, але й спонукала до обговорення надійності аудитів та стандартів тестування для смарт-контрактів.

Як розвивалися події навколо експлойту Balancer

Згідно з інформацією блокчейн-безпекової компанії SlowMist, вразливість виникла з помилки втрати точності в Composable Stable Pools Balancer. Ці пули були створені для підтримки майже рівних пар активів, таких як USDC та USDT, які сильно залежать від точної арифметики.

The exploit began when attackers took advantage of a minor rounding error in how Balancer’s code calculated scaling factors for token swaps.

Атакуючий спочатку обміняв токени Balancer Pool на токени ліквідності, щоб зменшити доступну ліквідність, що полегшило спотворення відношень токенів. Потім вони виконали серію швидких торгів, які включали токени, такі як osETH та WETH.

Кожна угода генерувала невелику арифметичну округлену різницю, і хоча ці варіації були незначними, вони накопичувалися протягом сотень транзакцій.

Використовуючи функцію пакетного обміну Balancer, яка дозволяє здійснювати кілька обмінів в одній транзакції, зловмисник міг швидко підвищити ці незначні різниці. Згодом це призвело до того, що протокол став розраховувати вищий вихід токенів, ніж сума, яка підлягала оплаті, що забезпечило зловмиснику штучний прибуток.

Після накопичення достатньої переваги атакуючий скасував попередні交易, щоб дані в блокчейні виглядали нормальними, приховуючи маніпуляції.

Аналіз блокчейну показав, що вкрадені кошти були переведені через Tornado Cash, щоб приховати їхнє походження, а потім маршрутизовані через кілька мереж, включаючи Arbitrum, Polygon, Base, Avalanche та Optimism.

Фінансові збитки були оцінені приблизно в 116 мільйонів доларів криміналістичними групами. Надзвичайна реакція Balancer зупинила нові пули, але старі пули без запобіжних замків залишались вразливими, що призвело до значних фінансових втрат.

Читай також: Заробляйте 15% на DOGE: Посібник з Power Piggy від Bitrue

Що викриття показало про слабкості DeFi

Експлуатація Balancer виявила критичну слабкість у DeFi: навіть добре аудовані протоколи не застраховані від помилок математичної точності.

Balancer раніше пройшов більше десяти аудитів провідними компаніями, такими як OpenZeppelin, Trail of Bits і Certora. Незважаючи на ці перевірки, недолік залишався в функції, відомій як «upscale», яка конвертувала значення токенів під час пакетних свопів.

Проблема виникла через те, як цілісна арифметика округлювала дробові значення, трохи вигідніше для трейдерів, ніж для ліквідних пулів. Ця незначна перевага могла безкінечно повторюватися для несправедливого отримання токенів.

Що робило інцидент ще більш тривожним, так це те, що Balancer стикався з подібною проблемою округлення два роки тому, хоча та версія призвела до значно менших втрат.

Рекурсія вказувала на те, що арифметична точність залишається непоміченою областю у розвитку DeFi.

Смарт-контракти часто залежать від взаємозалежних обчислень, і одна помилка округлення може посилитися на тисячах транзакцій.

Після експлойту загальна заблокована вартість Balancer різко впала. Дані з DeFiLlama показали, що його TVL знизилась з 442 мільйонів доларів до 214 мільйонів доларів протягом 24 годин, а пізніше впала нижче 190 мільйонів доларів.

Постачальники ліквідності кинулися виводити кошти, побоюючись подальших експлуатацій. У відповідь Balancer вимкнув створення нових Компонованих Стабільних Басейнів, зупинив емісії з постраждалих вимірювачів та активував режим відновлення для виведення, щоб дозволити користувачам безпечно повернути свої активи.

Партнери в індустрії, такі як StakeWise DAO та Фундація Berachain, внесли свій вклад у процес відновлення.

StakeWise змогли відновити близько 19 мільйонів доларів США у вигляді osETH, тоді як Berachain заморозили 12 мільйонів доларів США викрадених коштів. Gnosis та Monerium також заморозили близько 1,3 мільйона євро у стабільних монетах EURe.

Незважаючи на ці зусилля, більшість коштів залишилися неприйнятими, оскільки зловмисник конвертував активи в ETH і розподілив їх між кількома гаманцями.

Балансер: Переговори та реакція промисловості

У несподіваному повороті подій, Balancer Labs розпочала переговори з хакером 8 листопада 2025 року, всього через пяти днів після експлойту.

Розробники протоколу надіслали повідомлення в мережі, пропонуючи винагороду зловмиснику в обмін на повернення вкрадених коштів. Вони запевнили, що жодних юридичних або слідчих дій не буде вжито, якщо хакер співпрацює до наступного дня.

Однак, якщо зловмисник відмовиться, Balancer пообіцяв передати справу на розслідування за допомогою on-chain форензики та потенційних юридичних каналів.

Цей крок продемонстрував готовність Balancer ставити відновлення фондів на перше місце, а не покарання, стратегія, яка виявилася ефективною під час попередніх зломів у DeFi.

Схожі підходи допомогли проектам, таким як Beanstalk, відновити втрачені активи, що показує, що переговори іноді можуть призводити до мирних рішень. Balancer також оголосив, що інформатори, які допомогли в ідентифікації хакера, отримають винагороду.

Відповідь "військової кімнати" протоколу передбачала тісну співпрацю з компаніями в галузі кібербезпеки та дослідниками блокчейну для відстеження залишків вкрадених коштів.

Система моніторингу Hypernative, яка автоматично призупинила нові пулі під час атаки, була визнана за запобігання ще більшим втратам.

Цей інцидент знову розгорів обговорення в секторі DeFi про необхідність кращого аудиту, точного оброблення та систем моніторингу в реальному часі.

Експерти закликали до нових стандартів, які включають екстремальні стрес-тести, змодельовані атаки та виявлення аномалій на блокчейні, щоб запобігти подібним експлойтам на основі арифметики в майбутньому.

Тим часом загальний ринок криптовалют залишався відносно стабільним. Ethereum, на якому було втрачено значну частину ліквідності, торгувався близько $3,434 з ринковою капіталізацією понад $414 мільярдів. Аналітики відзначили, що швидке знешкодження експлуатації допомогло запобігти більш широкій паніці на ринку.

Читай також: 

Як отримати 8% на USDT без блокування

Висновок

Експлуатація Balancer у листопаді 2025 року стала однією з найбільших і найтехнічно складних порушень DeFi року. Єдина арифметична помилка при округленні призвела до втрати більше ніж 120 мільйонів доларів на кількох мережах.

Хоча Balancer та його партнери відновили частину вкрадених активів, атака виявила глибокі вразливості в протоколах DeFi, особливо тих, що стосуються математичної точності та безпеки міжмережевих зв'язків.

Для трейдерів, які шукають більш безпечний і надійний досвід,Бітрюпропонує безпечну платформу для купівлі, продажу та зберігання криптоактивів. Її надійна система безпеки, зручний для користувача дизайн і постійна прозорість роблять її однією з найбільш надійних бірж для безпечного управління цифровими активами.

FAQ

Що спричинило експлуатацію Balancer?

Використання експлойту сталося через невелику помилку округлення в арифметичних розрахунках, які використовувались у смарт-контрактах Balancer, що дозволило зловмисникам маніпулювати залишками токенів та висмоктувати ліквідні пулли.

Скільки було вкрадено під час експлойту Balancer?

Загальні збитки оцінюються приблизно в 120 мільйонів доларів на кількох мережах, включаючи Ethereum, Base, Arbitrum та Polygon.

Чи вдалося Balancer відновити якісь кошти?

Так, деякі кошти були відновлені завдяки спільним зусиллям StakeWise DAO, Berachain та Gnosis, хоча більшість залишилася не відновленою.

Чи зв'язувався Balancer з хакером?

Так, Balancer надіслав повідомлення в мережі, пропонуючи винагороду хакеру в обмін на повернення викрадених активів без судових наслідків.

Як трейдери можуть захистити свої криптовалюту від подібних експлойтів?

Використання безпечних та регульованих платформ, таких якBitrue

• це один з найкращих способів забезпечити безпеку ваших криптоактивів.
• Bitrue використовує надійні заходи безпеки та пропонує прозоре торгове середовище для всіх користувачів.

Обережність інвесторів

Хоча галас навколо криптовалют був захоплюючим, пам'ятайте, що криптопростір може бути нестабільним. Завжди проводьте своє дослідження, оцінюйте свою толерантність до ризику та розглядайте довгостроковий потенціал будь-якої інвестиції.

Офіційний веб-сайт Bitrue:

Вебсайт:The text you provided is a URL and does not require translation. If you have any specific text from the website that you would like me to translate into Ukrainian, please provide it, and I will be happy to help!

Застереження: Висловлювання, що наведені, належать виключно автору і не відображають думки цієї платформи. Ця платформа та її афілійовані особи відмовляються від будь-якої відповідальності за точність чи придатність наданої інформації. Це виключно для інформаційних цілей і не є фінансовою чи інвестиційною порадою.