11 audytów w ciągu 5 lat, 6 razy okradziony – dlaczego Balancer, mimo burzliwej przeszłości, wciąż ma fanów?

Deng Tong, Jinse Finance

3 listopada 2025 roku protokół DeFi Balancer padł ofiarą ataku hakerskiego, w wyniku którego skradziono cyfrowe aktywa o wartości ponad 100 milionów dolarów. Zespół Balancer poinformował: Zauważyliśmy potencjalną lukę w pulach Balancer v2, nasz zespół inżynierów i specjalistów ds. bezpieczeństwa prowadzi priorytetowe śledztwo.

W tym artykule dokonano przeglądu przebiegu ataku na Balancer, przedstawiono reakcje różnych stron, podsumowano czarną historię Balancer oraz przeanalizowano, dlaczego mimo częstych incydentów bezpieczeństwa Balancer wciąż ma wielu zwolenników.

I. Przegląd ataku na Balancer

W poniedziałek zdecentralizowana giełda i automatyczny animator rynku Balancer padł ofiarą ataku hakerskiego, w wyniku którego aktywa cyfrowe o wartości ponad 116 milionów dolarów zostały przetransferowane do nowo utworzonego portfela.

Zespół Balancer opublikował w poniedziałek post na forum X: „Zauważyliśmy potencjalną lukę, która może mieć wpływ na pule Balancer v2. Nasz zespół inżynierów i bezpieczeństwa prowadzi priorytetowe śledztwo.” Gdy pojawi się więcej informacji, zostaną udostępnione kolejne aktualizacje.

Początkowe dane on-chain wskazują, że Balancer został zaatakowany i stracił płynne stakowane Ethereum o wartości 70,9 miliona dolarów. Logi Etherscan pokazują, że Ethereum zostało przetransferowane do nowego portfela w trzech transakcjach.

Platforma wywiadu kryptowalutowego Nansen poinformowała w poście na X, że skradzione aktywa obejmują 6 850 StakeWise stakowanych ETH (OSETH), 6 590 Wrapped Ether (WETH) oraz 4 260 Lido wstETH (wSTETH).

Jednak skradzione aktywa nie ograniczają się tylko do 70,9 miliona dolarów – kwota ta stale rosła. Według platformy danych blockchain Lookonchain, do poniedziałku rano o 8:52 (UTC+8) trwający atak zwiększył wartość skradzionych środków do ponad 116,6 miliona dolarów.

Balancer wystosował komunikat on-chain: jest gotów zapłacić 20% wartości skradzionych aktywów jako nagrodę white-hat za odzyskanie środków, oferta ważna przez 48 godzin. Jeśli środki nie zostaną zwrócone w ciągu kolejnych 48 godzin, Balancer będzie kontynuował współpracę z ekspertami ds. kryminalistyki blockchain i organami ścigania, aby zidentyfikować sprawcę. Balancer podkreślił: „Nasi partnerzy są przekonani, że metadane logów dostępu zebrane przez naszą infrastrukturę mogą zidentyfikować Twoją tożsamość; metadane te pokażą połączenia z określonego zestawu adresów IP/ASN oraz znaczniki czasu wejścia powiązane z aktywnością transakcyjną on-chain.”

Następnie Balancer opublikował na Twitterze: Zauważyliśmy potencjalną lukę w pulach Balancer v2. Nasz zespół inżynierów i bezpieczeństwa prowadzi priorytetowe śledztwo. Gdy tylko uzyskamy więcej informacji, niezwłocznie podzielimy się zweryfikowanymi aktualizacjami i dalszymi krokami.

Balancer opublikował na platformie X: „Dziś około 7:48 czasu UTC Composable Stable Pools Balancer V2 padły ofiarą ataku. Nasz zespół współpracuje z czołowymi badaczami bezpieczeństwa, aby zbadać przyczyny problemu i wkrótce podzieli się wynikami oraz pełnym raportem po incydencie. Ponieważ te pule działają on-chain od lat, wiele z nich przekroczyło już okno czasowe, w którym można je było wstrzymać. Wszystkie pule, które nadal można było wstrzymać, zostały już zawieszone i są w trybie przywracania. Pozostałe pule Balancer nie zostały dotknięte. Problem dotyczy wyłącznie Composable Stable Pools V2 i nie wpływa na Balancer V3 ani inne typy pul. Ostrzeżenie: w sieci pojawiły się oszukańcze informacje podszywające się pod zespół bezpieczeństwa Balancer – nie pochodzą one od nas. Prosimy nie wchodzić w interakcje z takimi nieznanymi źródłami ani nie klikać w podejrzane linki.”

Zgodnie z monitoringiem on-chain analityka Yu Jin, dziś nad ranem StakeWise odzyskał od hakera Balancer 5 041 osETH (19,3 miliona dolarów) poprzez wywołanie kontraktu. W rezultacie wartość skradzionych aktywów spadła z 117 milionów dolarów do 98 milionów dolarów. Haker stopniowo zamieniał LST na ETH, obecnie ponad połowa skradzionych aktywów została już zamieniona na ETH.

II. Analiza przyczyn kradzieży

Balancer padł ofiarą ataku wykorzystującego lukę księgową. Trading Strategy, Nansen i Phalcon opisali ten atak z różnych perspektyw.

Dyrektor generalny i współzałożyciel Trading Strategy, Mikko Ohtamaa, wskazał, że wstępna analiza sugeruje, iż przyczyną była wada w sprawdzaniu kontraktu inteligentnego.

Analityk Nansen, Nicolai Sondergaard, stwierdził, że atakujący „sfabrykował dużą opłatę wpłaconą na konto opłat Balancer, a następnie kliknął przycisk wypłaty, zamieniając WETH na gotówkę – zasadniczo zamienił fałszywe punkty na prawdziwe pieniądze.”

Wstępne ustalenia firmy zajmującej się bezpieczeństwem blockchain Phalcon wskazują, że celem atakującego były Balancer Pool Tokens (BPT), tokeny reprezentujące udział użytkownika w puli płynności. Według firmy luka wynikała ze sposobu, w jaki Balancer obliczał cenę puli podczas wymiany zbiorczej. Atakujący manipulował tą logiką, zniekształcając wewnętrzne informacje o cenie i sztucznie wywołując brak równowagi cenowej, co pozwoliło mu wyciągnąć tokeny zanim system się samonaprawił.

Analityk kryptowalutowy Adi zauważył: „Niewłaściwe uprawnienia i obsługa wywołań zwrotnych umożliwiły atakującemu obejście zabezpieczeń. Pozwoliło to na nieautoryzowaną wymianę środków lub manipulację saldami w połączonych pulach, co doprowadziło do szybkiego (w ciągu kilku minut) wyczerpania aktywów.”

Conor Grogan z Coinbase zauważył, że działania atakującego świadczą o profesjonalizmie: adres atakującego został początkowo zasilony 100 ETH z Tornado Cash, co oznacza, że środki te prawdopodobnie pochodzą z wcześniejszych exploitów. „Ludzie zazwyczaj nie wpłacają 100 ETH do Tornado Cash dla zabawy” – to zachowanie doświadczonego hakera.

III. Reakcje na atak na Balancer

1. Rynek kryptowalut gwałtownie spada

Pod wpływem negatywnych skutków kradzieży z Balancer oraz presji sprzedażowej wynikającej z niemal 100 milionów dolarów skradzionych aktywów, cały rynek kryptowalut nie wyglądał optymistycznie – SOL w ciągu 24 godzin spadł niemal o 10%. W chwili publikacji BTC kosztował 104 577 dolarów (UTC+8), spadek o 2,6% w ciągu 24 godzin; ETH kosztował 3 506 dolarów (UTC+8), spadek o 5,6% w ciągu 24 godzin.

BAL, natywny token zarządzania protokołu Balancer, zanotował jeszcze większy, dwucyfrowy spadek. W chwili publikacji BAL kosztował 0,8376 dolara (UTC+8), spadek o 12,6% w ciągu 24 godzin.

2. Wpływ na projekty forkowane z Balancer

Współzałożyciel Redstone, Marcin, ostrzegł na Twitterze: projekty forkowane z Balancer, takie jak Beets na Sonic, również wydają się być dotknięte – według danych DefILlama, w nieco ponad godzinę TVL BEX spadł gwałtownie z 54 milionów dolarów do około 41 milionów dolarów (UTC+8), spadek o ponad 24%. Ponadto, BEX na Berachain również może być dotknięty, TVL Beets wynosi około 10 milionów dolarów (UTC+8), spadek o ponad 30% w pół godziny.

Oficjalny profil Sonic na X poinformował, że ze względu na atak hakerski na Balancer, który dotknął projekt Beets w ekosystemie Sonic, zespół wdrożył mechanizm bezpieczeństwa, który zostanie wprowadzony podczas nadchodzącej aktualizacji sieci. Ponadto dwa portfele powiązane z hakerem (0xf19f, 0x0453) zostały zamrożone i oczekują na dalsze śledztwo. Sonic będzie współpracować z zespołem Beets w dalszych działaniach.

Fundacja Berachain poinformowała, że walidatorzy skoordynowali wstrzymanie działania sieci Berachain, aby zespół główny mógł przeprowadzić pilny hard fork i rozwiązać problem luki związanej z Balancer V2 na BEX. To wstrzymanie sieci było zaplanowane, a sieć zostanie wkrótce przywrócona.

GoPlus również poinformował w mediach społecznościowych, że wszystkie projekty DeFi forkowane z Balancer są dotknięte tą luką, a wiele protokołów już zostało zaatakowanych. Zaleca się sprawdzenie listy protokołów forkowanych z Balancer na stronie Defillama, natychmiastowe zaprzestanie interakcji z nimi i szybkie wycofanie aktywów dla własnego bezpieczeństwa.

3. Lido wycofało swoje niezagrożone pozycje na Balancer

Lido poinformowało, że część pul BalancerV2 została zaatakowana. Protokół Lido nie został dotknięty, wszystkie środki użytkowników są bezpieczne. Z ostrożności zespół zarządzający Lido GGV, Veda, wycofał swoje niezagrożone pozycje na Balancer. Wszystkie środki Lido Earn pozostają bezpieczne.

4. xUSD odkotwiczył się i spadł o 75,7%

W ciągu ostatnich 24 godzin (UTC+8) Staked Stream USD (XUSD) odkotwiczył się o około 75,7% – to efekt domina po ataku hakerskim na Balancer. Stream Finance poinformował: zewnętrzny zarządzający funduszem ujawnił, że nadzorowane przez niego środki Stream straciły około 93 miliony dolarów. Stream zatrudnił kancelarię prawną Perkins Coie LLP, a Keith Miller i Joseph Cutler prowadzą pełne śledztwo. Obecnie Stream wycofuje wszystkie płynne aktywa i ogłosił zawieszenie wszystkich operacji wpłat i wypłat, a dalsze aktualizacje będą publikowane regularnie.

5. Wieloryby wycofują środki

W wyniku ataku hakerskiego wieloryb 0x0090, po trzech latach nieaktywności, właśnie się „obudził” po ataku na Balancer – natychmiast wycofał wszystkie środki z Balancer w wysokości 6,5 miliona dolarów (UTC+8).

6. Reakcje internautów

Kreatorka treści PythiaCrypto zauważyła: Z prawnego i bezpieczeństwa punktu widzenia, co jeszcze można zrobić? Jedynym sposobem jest odnalezienie skradzionych środków, ich zamrożenie i zwrot poszkodowanym. Jeśli to się nie uda, nie ma żadnego sposobu, by pociągnąć złodzieja do odpowiedzialności ani zrekompensować ofiary.

Pojawiły się również oburzone komentarze:

„To jedna z najbardziej potencjalnie lukratywnych luk w historii.”

„Po stracie 116 milionów nadal mówić o 'potencjale' – to szaleństwo.”

„XMR otrzyma zastrzyk 1,1 miliarda dolarów.”

„Od protokołu Cetus przez Nemo Finance po Balancer Finance? Wszystko to wydarzyło się w tym samym roku! Czy powinniśmy się martwić o korzystanie z DeFi? Przecież to 'przyszłość finansów', prawda?”

IV. 11 audytów i nadal kradzież – czarna historia Balancer

Ile razy Balancer był audytowany? 11 razy.

Suhail Kakar, szef relacji deweloperskich TAC blockchain, stwierdził: „Balancer przeszedł ponad dziesięć audytów, skarbiec był audytowany przez różne firmy trzy razy, a mimo to został zhakowany i stracił aż 1,1 miliarda dolarów. Branża musi zrozumieć, że 'audyt X' praktycznie nic nie znaczy. Kodowanie jest trudne, DeFi jeszcze trudniejsze.”

Zgodnie z listą audytów Balancer V2 na GitHub, cztery różne firmy bezpieczeństwa – OpenZeppelin, Trail of Bits, Certora i ABDK – przeprowadziły łącznie 11 audytów smart kontraktów tej platformy, z czego ostatni audyt stabilnych pul przez Trail of Bits miał miejsce we wrześniu 2022 roku.

Analityk kryptowalutowy Antyzo zauważył: Oszczędzanie na audytach bezpieczeństwa zawsze się mści. Mam nadzieję, że środki użytkowników są bezpieczne. Dla każdego protokołu DeFi audyt to podstawowa konieczność, a nie zbędny wydatek.

Współzałożyciel UntradenOrg, ReiSoleil, zauważył: Milczenie audytorów jest ogłuszające.

Współzałożyciel PegaX, Neighman, zauważył: Balancer przeszedł wiele audytów i ustanowił nagrodę za znalezienie luki w wysokości 1 miliona dolarów, a mimo to zmaga się z tą katastrofą. W tej branży bezpieczeństwo nigdy nie może być lekceważone – to podstawowy wymóg. Dotyczy to również platform transakcyjnych on-chain.

Od dawna Balancer był postrzegany jako konserwatywny wybór dla dostawców płynności – miejsce do przechowywania aktywów i uzyskiwania stabilnych zysków. Jego długa historia, rygorystyczny system audytów oraz integracja z głównymi platformami DeFi stworzyły iluzję, że długotrwała działalność oznacza bezpieczeństwo. Jednak wczorajsze i dzisiejsze incydenty bezpieczeństwa obaliły to przekonanie.

Wcześniej Balancer już kilkukrotnie padł ofiarą ataków hakerskich.

1. W czerwcu 2020 roku Balancer padł ofiarą ataku wykorzystującego lukę w obsłudze tokenów deflacyjnych, tracąc 520 000 dolarów. Atakujący wykorzystał błąd w obsłudze tokenów deflacyjnych przez protokół Balancer, zaciągnął 104 000 ETH z dYdX poprzez flash loan, a następnie 24 razy wymieniał STA na ETH i odwrotnie. Ponieważ Balancer nieprawidłowo obliczał saldo po każdej transakcji, pula STA została wyczerpana do 1 wei, a atakujący wykorzystał poważną nierównowagę cenową, by wymienić niewielką ilość STA na dużą ilość ETH, WBTC, LINK i SNX.

2. W marcu 2023 roku Balancer ucierpiał w wyniku incydentu Euler, tracąc 11,9 miliona dolarów. Euler Finance padł ofiarą ataku flash loan na 197 milionów dolarów, a pula bb-e-USD Balancer ucierpiała z powodu posiadania eToken Euler – około 11,9 miliona dolarów zostało przetransferowane z puli bb-e-USD Balancer do Euler, co stanowiło 65% TVL tej puli.

3. W sierpniu 2023 roku pule Balancer V2 padły ofiarą ataku wykorzystującego błąd precyzji, tracąc 2,1 miliona dolarów. Atakujący precyzyjnie manipulował obliczaniem podaży BPT (Balancer Pool Token), co pozwoliło mu wyciągnąć aktywa z puli po nieuczciwym kursie. Atak został przeprowadzony za pomocą wielu transakcji flash loan.

4. We wrześniu 2023 roku Balancer padł ofiarą ataku DNS hijackingu, tracąc 240 000 dolarów. Hakerzy wykorzystali inżynierię społeczną, by przejąć kontrolę nad rejestratorem domen EuroDNS i przechwycić domenę balancer.fi, przekierowując użytkowników na stronę phishingową, która wykorzystywała złośliwy kontrakt Angel Drainer do wyłudzenia autoryzacji transferu, a następnie prali skradzione środki przez Tornado Cash.

5. W czerwcu 2024 roku Balancer ucierpiał w wyniku ataku na Velocore, tracąc 6,8 miliona dolarów. Atakujący wykorzystał błąd przepełnienia w kontrakcie puli CPMM w stylu Balancer na Velocore, manipulując mnożnikiem opłat powyżej 100%, co doprowadziło do błędów obliczeniowych i umożliwiło kradzież około 6,8 miliona dolarów poprzez flash loan i starannie zaplanowane wypłaty.

V. Dlaczego mimo częstych kradzieży Balancer wciąż ma wiernych fanów?

Nawet jeśli od debiutu w 2020 roku Balancer regularnie doświadcza incydentów bezpieczeństwa, wciąż ma wielu lojalnych użytkowników.

Głównym powodem jest to, że Balancer to nie tylko zdecentralizowana giełda, ale także automatyczny animator rynku (AMM), obsługujący pule wieloassetowe, programowalne wagi, dynamiczne opłaty, Boosted pule kombinowane itd. Wiele projektów i strategii DeFi (np. Yearn, Aura, BeethovenX) bezpośrednio polega na protokole Balancer jako warstwie płynności. Dlatego nawet w przypadku incydentów bezpieczeństwa, inercja ekosystemu tych protokołów wyższego poziomu utrzymuje bazę użytkowników.

Po drugie, ponieważ Balancer to protokół AMM, pozwala użytkownikom tworzyć i zarządzać niestandardowymi pulami płynności, obsługując różne kombinacje aktywów i ustawienia wag. Przyciąga to wielu profesjonalnych dostawców płynności i traderów, którzy mogą optymalizować konfigurację płynności zgodnie ze swoją strategią, aby uzyskać wyższe zyski. Algorytm Balancer pozwala na efektywniejsze wykorzystanie płynności – w porównaniu do tradycyjnych AMM może zapewnić lepsze ceny i niższy poślizg przy tej samej płynności. Jest to bardzo ważne dla użytkowników dokonujących dużych lub częstych transakcji, ponieważ pozwala obniżyć koszty transakcyjne.

VI. Czy można jeszcze ufać DeFi?

Dyrektor strategii Flashbots i doradca strategiczny Lido, Hasu, zauważył, że Balancer v2 został uruchomiony w 2021 roku i od tego czasu stał się jednym z najbardziej obserwowanych i najczęściej forkowanych smart kontraktów. To bardzo niepokojące. Każdy atak na kontrakt działający tak długo cofa adopcję DeFi o 6–12 miesięcy.

Założyciel i CEO Circuit, Harry Donnelly, stwierdził: Incydent wycieku danych Balancer to „poważne ostrzeżenie” dla ekosystemu DeFi, podkreślając, że Balancer to „jedna z najbardziej zaufanych marek w branży” oraz „wczesny pionier z kulturą zgodności, rygorystycznymi audytami i publicznymi ujawnieniami”. To właśnie ta przejrzystość pomogła Balancerowi odnieść sukces, ale także uczyniła go bardziej podatnym na ataki. „Jeśli DeFi naprawdę chce rzucić wyzwanie tradycyjnym finansom, musi wyprzedzać przestępców poprzez proaktywną odporność i reakcję, a nie tylko biernie łatać luki i zamrażać środki.”

Założyciel i CEO OneSource, Vladislav Ginzburg, powiedział: „Smart kontrakty i inżynieria finansowa są częścią ryzyka inwestowania w DeFi. Dlatego audyt smart kontraktów jest kluczowy. Uważam, że luka w Balancer nie oznacza nowego paradygmatu, więc nie powinna zmieniać zaufania ani czynników ryzyka. Status quo pozostaje bez zmian.”

CTO platformy Komodo, Kadan Stadelmann, wyraził podobne zdanie – uważa, że rdzenni użytkownicy DeFi nie zrezygnują z tego powodu, ale inwestorzy instytucjonalni mogą być zniechęceni. „To właśnie tego typu ataki hakerskie w DeFi sprawiają, że inwestorzy instytucjonalni i inwestorzy alternatywni zwracają się ku czystej strategii bitcoinowej.”