Поділитися цією статтею
Balancer зазнав, ймовірно, експлойту: $110 млн у криптовалюті переказано на нові гаманці
Постраждалі фонди включають 6 850 osETH, 6 590 WETH та 4 260 wstETH, як показали дані блокчейну, проаналізовані CoinDesk.
Зробіть нас пріоритетним джерелом у Google
Що варто знати:
- Balancer, протокол DeFi, ймовірно зазнав серйозного експлойту з витоком цифрових активів на суму приблизно 110 мільйонів доларів США.
- Вкрадені кошти включають osETH, WETH та wstETH, а зловмисник консолідує активи, що викликає занепокоєння щодо можливого відмивання грошей.
- Токен BAL компанії Balancer впав більш ніж на 5%, і це вже третій випадок порушення безпеки для цього проєкту.
Balancer, децентралізований фінансовий протокол (DeFi) з понад $750 мільйонами заблокованих активів, схоже, зазнав свого найбільшого експлойту, про що свідчать дані з блокчейну, що показують понад $110 мільйонів у цифрові активи виведені на новий гаманець.
Постраждалі фонди включають 6,850 osETH, 6,590 WETH та 4,260 wstETH, анализ даних блокчейна за даними CoinDesk показало, і, як здається, вплинуло на сховища версії Balancer 2 (V2).
Подальший аналіз показує, що різні сховища також були уражені та спустошені на Sonic, Polygon та Base.
Продовження Нижче
Не пропустіть жодної історії.Підпишіться на розсилку Crypto Daybook Americas вже сьогодні. Переглянути всі розсилки
Як відбулася атака
Атака сталася через несправний контроль доступу у функції "manageUserBalance", за даними інструменту безпеки Decurity.
Уразливість виникла через validateUserBalanceOp, який перевіряє msg.sender у порівнянні з op.sender, наданим користувачем, логічну помилку, що дозволяє несанкціоновані зняття коштів через операцію UserBalanceOpKind.WITHDRAW_INTERNAL.
Фактично це означає, що зловмисники могли б ініціювати внутрішні зняття балансу зі смарт-контрактів Balancer без належних дозволів.
manageUserBalance in @Balancer has a faulty access check
— Defimon Alerts (@DefimonAlerts) November 3, 2025
In _validateUserBalanceOp it checks msg.sender against user supplied op.sender. It allows to execute UserBalanceOpKind.WITHDRAW_INTERNAL (kind = 1) https://t.co/UBUdD8RGsa pic.twitter.com/KlaYPv56bf
Адреса зловмисника вже почала консолідувати активи, що викликає занепокоєння щодо можливого відмивання коштів через децентралізовані міксери або крос-чейн мости.
Токен BAL платформи Balancer впав більш ніж на 5% від свого піку в понеділок, свідчать дані CoinGecko.
Команда ще не випустила офіційну заяву, хоча це вже третій відомий випадок порушення безпеки проекту після інцидентів у 2021 та 2023 роках, які разом призвели до втрат у мільйони.
Хранилище — це основний смарт-контракт Balancer, у якому фактично зберігаються всі токени з кожного пулу Balancer. Замість того, щоб кожен пул управляв власними коштами, усе проходить через цей єдиний контракт.
Дизайн, вперше представлений у Balancer v2, розділяє облік токенів (від логіки пулу (як працюють свопи, додавання ліквідності та зняття коштів)). Це робить пули меншими, простішими та безпечнішими для створення, і будь-хто може інтегрувати новий дизайн пулу без створення цілком нового DEX.
Ця конструкція, схоже, також впливає на сервіси, побудовані поверх Balancer, оскільки форк-проект Beets Finance підтвердив, що також зазнав впливу, що спричинило збитки на суму понад 3 мільйони доларів.
На сервісах, побудованих на базі Balancer V2, заблоковано понад 60 мільйонів доларів, DefiLlama показує, відкриваючи фонди потенційному ризику викачування, якщо протоколи не встановили додаткові заходи безпеки для мінімізації ризиків у разі експлуатації головного контракту.
ОНОВЛЕННЯ (3 листопада, 9:17 за UTC): Оновлено заголовок та текст статті для додавання нової інформації про використання експлойту та розширеного контексту щодо механізму проведення атаки.
