За 5 лет 6 инцидентов с убытками свыше 100 миллионов: история взломов старейшего DeFi-протокола Balancer

Chainfeeds Введение:

Для наблюдателей DeFi — это необычный социальный эксперимент; для участников — кража в DeFi становится дорогим уроком.

Источник:

TechFlow

Мнение:

TechFlow: Официальный аккаунт Balancer оперативно выпустил заявление после инцидента, признав обнаружение уязвимости, которая могла повлиять на пулы V2, и сообщил, что инженерная и команда безопасности придают расследованию высший приоритет. После получения дополнительной информации будут опубликованы результаты проверки и последующие меры. Одновременно команда объявила о готовности предоставить белому хакеру вознаграждение в размере 20% от украденных активов за возврат средств, срок — 48 часов. Эта мера была быстрой, но всё же показалась формальной и не смогла успокоить тревогу сообщества. Для опытных пользователей DeFi атаки на Balancer уже стали почти циклической новостью. С момента основания в 2020 году этот некогда уважаемый протокол, известный как гибкий маркет-мейкер, за пять лет пережил шесть инцидентов, практически ежегодно становясь жертвой хакерских атак. В июне 2020 года Balancer потерял около 520 000 долларов из-за уязвимости в обработке дефляционного токена STA: злоумышленник воспользовался особенностью STA автоматически сжигать 1% комиссии при переводе, взял в долг 104 000 ETH на dYdX и совершил 24 цикла обмена в пуле, пока STA не закончились (остался 1 wei), а затем обменял их на ETH, WBTC, LINK и SNX по крайне невыгодному курсу. Этот инцидент стал первым крупным поражением Balancer и выявил уязвимость протокола в части совместимости со сложными токенами. В последующие годы Balancer неоднократно сталкивался с проблемами безопасности. В марте 2023 года он пострадал из-за атаки на Euler Finance, потеряв около 11.9 миллионов долларов. Тогда Euler подвергся атаке с использованием flash loan на сумму 197 миллионов долларов, а пул bb-e-USD Balancer содержал токены Euler eToken, что привело к выводу средств на Euler — это составило 65% TVL пула. Несмотря на экстренную заморозку пула, потери не удалось избежать. В августе того же года пулы V2 подверглись атаке через уязвимость "ошибки округления": злоумышленник использовал неточность Boosted Pool, вызвав аномалию в расчёте предложения BPT и вывел активы по несправедливому курсу. Хотя Balancer заранее предупредил пользователей 22 августа и попросил вывести средства, через пять дней хакер всё же успешно атаковал, ущерб составил около 2.1 миллиона долларов. В сентябре произошёл инцидент с DNS-угоном: хакер с помощью социальной инженерии взломал регистратора EuroDNS, захватил домен balancer.fi и перенаправил пользователей на фишинговый сайт, где через вредоносный контракт Angel Drainer получал разрешение на перевод средств. Хотя это не была уязвимость смарт-контракта, инцидент показал уязвимость Web3-протоколов на уровне традиционной интернет-безопасности. В июне 2024 года форк Balancer — проект Velocore — был взломан, ущерб составил 6.8 миллионов долларов, причиной стала переполнение в CPMM-пуле, что вновь подчеркнуло системные риски архитектуры Balancer. Атака в ноябре 2025 года стала самой серьёзной на сегодняшний день. Компании Decurity и Defimon Alerts указали, что уязвимость возникла из-за ошибки в логике контроля доступа функции manageUserBalance протокола V2. В норме система должна проверять, является ли вызывающий аккаунт владельцем, но код ошибочно сравнивал msg.sender с пользовательским параметром op.sender. Поскольку op.sender может быть произвольным, злоумышленник мог подделать личность, обойти проверку и выполнить операцию WITHDRAW_INTERNAL, напрямую выводя активы любого аккаунта из хранилища. Иными словами, любой мог выдать себя за владельца любого аккаунта и вывести средства. Такая базовая ошибка контроля доступа в протоколе, работающем уже пять лет, поражает. История показывает: сложность и быстрая эволюция Balancer размыли границы безопасности — кастомные пулы с до восьми токенами увеличили гибкость, но экспоненциально расширили поверхность атаки. С накоплением функций и технического долга структура кода Balancer стала напоминать хрупкую башню из кубиков. Последняя уязвимость выявила не только ошибку в контракте, но и тревожную тенденцию развития DeFi: на фоне нарратива и капитала надёжность кода, кажется, отошла на второй план.