Balancerのコード問題による損失は1億を超え、DeFi業界にとってほぼ壊滅的な打撃となった。

原文标题：《老舗 DeFi 陥落：Balancer V2 コントラクトの脆弱性、1.1 億ドル以上の資産が盗まれる》
原文作者：Wenser，Odaily 星球日报

注：今日、DeFi プロトコル Balancer がハッカーの攻撃を受け、現在盗まれた資金の規模は 1.16 億ドルを超えています。複数のプロジェクトが自救措置を講じました：Lido は影響を受けていない Balancer のポジションを撤回しました；Berachain は直接ネットワークを停止し、緊急ハードフォークで BEX 上の Balancer V2 に関連する脆弱性を修正することを発表しました。

さらに、Flashbots の戦略ディレクター、Lido の戦略顧問 Hasu は、「Balancer v2 は 2021 年にローンチされ、それ以来最も注目され、頻繁にフォークされるスマートコントラクトの一つとなっています。これは非常に懸念されます。このように長期間運用されているコントラクトが攻撃されるたびに、DeFi の採用プロセスは 6 か月から 12 か月遅れることになります。」

以下は原文内容です：

11 月 3 日、老舗 DeFi プロトコル Balancer が 7000 万ドル以上の資産が盗まれたと報じられました。その後、このニュースは複数の情報源から確認され、盗まれた資金の規模は増加し続けています。執筆時点で、Balancer の盗まれた資産の金額は 1.16 億ドルを超えています。本稿ではこの件について簡単に分析します。

Balancer の盗難詳細：損失資金は 1.16 億ドルを超え、主な原因は v2 プールのスマートコントラクトの脆弱性

オンチェーン情報によると、Balancer の攻撃者が現在盗んだ資金の規模は 1.16 億ドルを超えており、主な盗まれた資産には WETH、wstETH、osETH、frxETH、rsETH、rETH が含まれ、ETH、Base、Sonic などの複数のチェーンに分散しています。その内訳は以下の通りです：

• · イーサリアムチェーン上の盗まれた資産：約 1 億ドル；
• · Arbitrum チェーン上の盗まれた資産：約 800 万ドル；
• · Base チェーン上の盗まれた資産：約 395 万ドル；
• · Sonic チェーン上の盗まれた資産：340 万ドル以上；
• · Optimism チェーン上の盗まれた資産：約 157 万ドル；
• · Polygon チェーン上の盗まれた資産：約 23 万ドル。

暗号 KOL Adi は、初期調査の結果、この攻撃は主に Balancer の V2 金庫と流動性プールをターゲットにしており、スマートコントラクトの相互作用における脆弱性を利用しています。オンチェーン調査者は、悪意のあるデプロイされたコントラクトが流動性プールの初期化中に Vault 呼び出しを操作したと指摘しています。不適切な権限とコールバック処理により、攻撃者は保護措置を回避でき、相互接続された流動性プール間で未承認のスワップ交換や残高操作を行うことができ、数分以内に迅速に資産を盗むことができました。

現在の情報によれば、秘密鍵の漏洩は存在せず、これは純粋なスマートコントラクトの脆弱性です。

監査機関 kebabsec の監査人、citrea 開発者 @okkothejawa も発表し、「（@moo9000 が言及したチェックエラー）は根本的な原因ではないかもしれません。なぜなら、すべての『manageUserBalance』呼び出しにおいて ops.sender == msg.sender だからです。セキュリティの脆弱性は、資産を引き出すコントラクトを作成する前のトランザクション中に発生した可能性があり、これが Balancer 金庫内のいくつかの状態変化を引き起こしました。」

Balancer の公式も外部に対して、「公式チームは Balancer v2 プールに影響を与える潜在的な脆弱性を認識しています。我々のエンジニアリングおよびセキュリティチームは、高い優先度で調査を行っています。さらなる情報が得られ次第、検証済みの更新と今後のステップを直ちに共有します。」と述べました。

また、潜在的な資産損失リスクがある Berachain も迅速に対応しました。Berachain 財団が発表した後、Berachain の創設者 Smokey The Bera は、「Bera ノードグループは Balancer の脆弱性が BEX（主に USDe 三池）に影響を与えるのを防ぐために、公チェーンの運用を自主的に停止しました。

• · Ethena チームに Bera ブリッジを無効にするよう依頼
• · 貸出市場で USDe の預金を無効/停止
• · HONEY トークンの鋳造および交換を停止
• · CEX などと連絡を取り、ハッカーのアドレスをブラックリストに登録することを確認

我々の目標は、資金をできるだけ早く回収し、すべての LP の安全を確保することです。Berachain チームは、準備が整い次第、関連するノードバリデーターおよびサービスプロバイダーにバイナリファイルを直ちにリリースします（このプールには非ネイティブ資産が含まれているため、いくつかのスロット再構築などが関与し、単に Bera トークンの残高を変更するだけではありません）。」

Balancer 攻撃者のオンチェーン情報の詳細は以下を参照：https://intel.arkm.com/explorer/entity/cd756cb8-6a84-4f40-9361-f6c548544430

Balancer の盗難、最も緊張しているのは暗号の巨鯨

老舗 DeFi プロトコルとして、Balancer のユーザーは間違いなく今回の盗難事件の最も直接的な影響を受けた者です。現在のユーザーができることは以下の通りです：

• · Balancer v2 プールから資金を撤回し、損失の拡大を避ける；
• · 権限を取り消す：Revoke、DeBank または Etherscan を使用して Balancer アドレスのスマートコントラクト権限を取り消し、潜在的なセキュリティリスクを避ける；
• · 注意を払う：Balancer 攻撃者の次の動きや、他の DeFi プロトコルに連鎖的な影響を与えるかどうかを注意深く監視する。

さらに、今回の盗難事件では、3 年間眠っていた暗号の巨鯨が市場の注目を集めました。

LookonChain の監視によると、3 年間眠っていた暗号の巨鯨 0x0090 が Balancer プラットフォームの脆弱性発生後に目を覚まし、急いで Balancer から自分の 650 万ドル相当の資産を引き出そうとしています。オンチェーン情報は以下を参照：https://intel.arkm.com/explorer/address/0x009023dA14A3C9f448B75f33cEb9291c21373bD8

今後の進展：ハッカーがトークン交換モードを開始

オンチェーンアナリストの余烬によると、Balancer の盗難事件のハッカーは、流動性ステーキングトークン（LST）を ETH に交換しようとし始めています。以前、彼は 10 osETH を 10.55 ETH に交換しました。

オンチェーン情報によると、ハッカーは Cow Protocol を通じて、複数のチェーン上の盗まれた資産を ETH、USDC などの資産に交換し続けています。現時点では、これらの盗まれた資産を回収する希望はかなり薄いです。

今後、Balancer が迅速にプロトコルコントラクトの脆弱性を特定し、盗まれた資産を回収するか、対応策を提供できるかが注目されます。

原文リンク ```