Balancer 코드 문제로 손실이 1억을 초과하며, DeFi 산업에 거의 파괴적인 타격을 주었다

핵심 관점

OdailyNews

2025-11-04 09:38:19

수집

곰장어 시장의 보류 프로그램, 구형 프로토콜에서 보안 사건 발생.

원문 제목：《오래된 DeFi의 몰락: Balancer V2 계약 취약점, 1.1억 달러 이상의 자산 도난》
원문 저자：Wenser, Odaily 별자리 일보

주: 오늘, DeFi 프로토콜 Balancer가 해커 공격을 받았으며, 현재 도난된 자금 규모는 1.16억 달러를 초과했습니다. 여러 프로젝트가 자구책을 마련했습니다: Lido는 영향을 받지 않은 Balancer 포지션을 철수했습니다; Berachain은 Balancer V2와 관련된 취약점을 긴급 하드포크로 수정하기 위해 네트워크를 일시 중단한다고 발표했습니다.

또한, Flashbots 전략 이사이자 Lido 전략 고문인 Hasu는 "Balancer v2는 2021년에 출시되어 이후 가장 주목받고 자주 포크된 스마트 계약 중 하나가 되었습니다. 이는 매우 우려스럽습니다. 이렇게 오랜 시간 동안 운영된 계약이 공격받을 때마다 DeFi의 채택 과정이 6개월에서 12개월 후퇴하게 됩니다."라고 언급했습니다.

다음은 원문 내용입니다:

11월 3일, 오래된 DeFi 프로토콜 Balancer에서 7000만 달러 이상의 자산이 도난당했다는 소식이 전해졌습니다. 이후 이 소식은 여러 경로를 통해 확인되었으며, 도난된 자금 규모는 계속해서 증가하고 있습니다. 기사를 작성할 당시, Balancer에서 도난당한 자산의 금액은 1.16억 달러를 초과했습니다. 본문에서는 이 사건에 대해 간략히 분석합니다.

Balancer 도난 세부사항: 손실 자금 1.16억 달러 초과, 주 원인은 v2 풀 스마트 계약 취약점

체인 정보에 따르면, Balancer 공격자가 현재 도난한 자금 규모는 1.16억 달러를 초과하며, 주로 도난된 자산에는 WETH, wstETH, osETH, frxETH, rsETH, rETH가 포함되어 있으며, ETH, Base, Sonic 등 여러 체인에 분포되어 있습니다. 그 중:

· 이더리움 체인에서 도난당한 자산: 약 1억 달러;
· Arbitrum 체인에서 도난당한 자산: 약 800만 달러;
· Base 체인에서 도난당한 자산: 약 395만 달러;
· Sonic 체인에서 도난당한 자산: 340만 달러 이상;
· Optimism 체인에서 도난당한 자산: 약 157만 달러;
· Polygon 체인에서 도난당한 자산: 약 23만 달러.

암호화 KOL Adi는 초기 조사 결과, 이번 공격은 주로 Balancer의 V2 금고와 유동성 풀을 겨냥했으며, 스마트 계약 상호작용의 취약점을 이용했습니다. 체인 조사자들은 악의적으로 배포된 계약이 유동성 풀 초기화 동안 Vault 호출을 조작했다고 지적했습니다. 잘못된 권한 부여 및 콜백 처리로 인해 공격자가 보호 장치를 우회할 수 있었고, 이로 인해 상호 연결된 유동성 풀 간에 무단 Swap 교환이나 잔액 조작이 가능해져 몇 분 만에 자산을 신속하게 도난당하게 되었습니다.

현재 정보에 따르면, 개인 키 유출은 없으며, 이는 순수한 스마트 계약 취약점입니다.

감사 기관 kebabsec 감사자이자 citrea 개발자인 @okkothejawa는 "(@moo9000이 언급한 검사 오류)는 근본 원인이 아닐 수 있으며, 모든 'manageUserBalance' 호출에서 ops.sender == msg.sender입니다. 보안 취약점은 자산 인출 계약을 생성하기 전의 거래에서 발생했을 수 있으며, 이는 Balancer 금고의 일부 상태 변화를 초래했습니다."라고 밝혔습니다.

Balancer 공식 측도 외부에 다음과 같이 응답했습니다: "공식 팀은 Balancer v2 풀에 영향을 미치는 잠재적 취약점을 인지하고 있습니다. 우리의 엔지니어링 및 보안 팀은 조사에 높은 우선 순위를 두고 있습니다. 더 많은 정보를 확보하는 대로 검증된 업데이트 및 후속 조치를 즉시 공유하겠습니다."

잠재적 자산 손실 위험이 있는 Berachain도 즉각적으로 자신의 응답을 발표했습니다. Berachain 재단이 발표한 후, Berachain 창립자 Smokey The Bera는 "Bera 노드 그룹은 Balancer의 취약점이 BEX(주로 USDe 삼중 풀)에 영향을 미치는 것을 방지하기 위해 공공 체인 운영을 자발적으로 중단했습니다."라고 밝혔습니다.

· Ethena 팀에 Bera 브리지를 비활성화하도록 요청
· 대출 시장에서 USDe 예금을 비활성화/중단
· HONEY 토큰 발행 및 교환 중단
· CEX 등과 소통하여 해커 주소를 블랙리스트에 올리기

우리의 목표는 가능한 한 빨리 자금을 회수하고 모든 LP의 안전을 보장하는 것입니다. Berachain 팀은 준비가 완료되는 대로 관련 노드 검증자 및 서비스 제공자에게 이진 파일을 즉시 배포할 것입니다(해당 풀에는 비원주 자산이 포함되어 있어 일부 슬롯 재구성 등이 필요하며, 단순히 Bera 토큰 잔액 수정만이 아닙니다)."

Balancer 공격자의 체인 정보 자세한 내용은: https://intel.arkm.com/explorer/entity/cd756cb8-6a84-4f40-9361-f6c548544430

Balancer 도난, 가장 긴장한 사람은 암호화 거대 고래

오래된 DeFi 프로토콜로서, Balancer의 사용자는 이번 도난 사건의 가장 직접적인 영향을 받는 사람들입니다. 현재 사용자들이 할 수 있는 일은 다음과 같습니다:

· Balancer v2 풀에서 자금을 철수하여 손실 확대를 방지;
· 권한 철회: Revoke, DeBank 또는 Etherscan을 사용하여 Balancer 주소의 스마트 계약 권한을 취소하여 잠재적 보안 위험을 방지;
· 주의 유지: Balancer 공격자의 다음 행동 및 다른 DeFi 프로토콜에 연쇄적인 영향을 미칠지 주의 깊게 살펴보기.

또한, 이번 도난 사건에서 3년 동안 잠들어 있던 암호화 거대 고래가 시장의 주목을 받았습니다.

LookonChain 모니터링에 따르면, 3년 동안 잠들어 있던 암호화 거대 고래 0x0090이 Balancer 플랫폼의 취약점 발생 후 방금 깨어났으며, 자신의 650만 달러 관련 자산을 Balancer에서 인출하려고 급히 움직이고 있습니다. 체인 정보는 다음과 같습니다: https://intel.arkm.com/explorer/address/0x009023dA14A3C9f448B75f33cEb9291c21373bD8