Найти в Дзене
VlaDeFi

😰 Balancer подтвердил взлом своих V2 Composable Stable Pools, из-за которого было выведено около $110–116 млн (по обновлённым данным — до

😰 Balancer подтвердил взлом своих V2 Composable Stable Pools, из-за которого было выведено около $110–116 млн (по обновлённым данным — до $128 млн) в сетях Ethereum, Base и Sonic. ✍️ Как это произошло ✔️ Атакующий использовал уязвимость в смарт-контрактах Balancer V2 — центральном хабе ликвидности, который агрегирует токены из пулов и обрабатывает свопы. Эта уязвимость позволила манипулировать внутренними балансами без необходимых разрешений. ✔️ В основе атаки лежала двойная уязвимость в механике swap/imbalance, потеря точности (precision loss), манипуляция инвариантами (invariant manipulation) Благодаря этому злоумышленник получил возможность выводить средства из хранилищ без аутентификации, обходя внутренние проверки смарт-контрактов. 🫡 Масштаб атаки Эксплойт затронул не только Ethereum, но и Berachain, Arbitrum, Base, Sonic, Optimism и Polygon, что сделало атаку кросс-чейн и значительно увеличило ущерб. 🔹 Первоначально ущерб оценивался в ~$70 млн 🔹 К 4 ноября — уже $128 м

😰 Balancer подтвердил взлом своих V2 Composable Stable Pools, из-за которого было выведено около $110–116 млн (по обновлённым данным — до $128 млн) в сетях Ethereum, Base и Sonic.

✍️ Как это произошло

✔️ Атакующий использовал уязвимость в смарт-контрактах Balancer V2 — центральном хабе ликвидности, который агрегирует токены из пулов и обрабатывает свопы.

Эта уязвимость позволила манипулировать внутренними балансами без необходимых разрешений.

✔️ В основе атаки лежала двойная уязвимость в механике swap/imbalance, потеря точности (precision loss), манипуляция инвариантами (invariant manipulation)

Благодаря этому злоумышленник получил возможность выводить средства из хранилищ без аутентификации, обходя внутренние проверки смарт-контрактов.

🫡 Масштаб атаки

Эксплойт затронул не только Ethereum, но и Berachain, Arbitrum, Base, Sonic, Optimism и Polygon,

что сделало атаку кросс-чейн и значительно увеличило ущерб.

🔹 Первоначально ущерб оценивался в ~$70 млн

🔹 К 4 ноября — уже $128 млн потерь

🤷‍♀️ Это пятый крупнейший DeFi-хак 2025 года, несмотря на 11 проведённых аудитов.

👐 Balancer сообщил, что:

✔️Инцидент не затронул V3 и другие типы пулов;

✔️Новые пулы были быстро приостановлены, но многие старые не попали в окно приостановки;

✔️Команда сотрудничает с PeckShield, Nansen и другими компаниями по безопасности, они сообщают что компрометации приватных ключей не зафиксировано.

Контракты Balancer работают уже более 4 лет, и команда, скорее всего предпринимала все возможные меры безопасности, включая дорогостоящие аудиты, но, как видно, уязвимости могут быть найдены даже спустя годы.

👌 Balancer считался Tier-1/2 протоколом, заслуживающим доверия.

Я и сам с ним работаю — но исключительно с V3 пулами, так что на этот раз пуля пролетела рядом с ухом.

😰 Уязвимость висела на виду четыре года — в контракте, который читали, проверяли и копировали десятки раз.

И это разрушает главное заблуждение DeFi:

“Много аудитов = гарантия безопасности и эталон надежности", на самом деле аудиты снижают риск, не не убирают его и этот случай нам наглядно это демонстрирует.

Когда рушатся Tier-1 (2) протоколы - это действительно страшно...

☕️ Cetus, GMX, Balancer… Кто следующий?

Представьте, если атака доберётся до AAVE или Uniswap —

под ударом окажется всё доверие к DeFi.

🚫 Сейчас не советую использовать активы, связанные с токенами Stream Finance, xUSD, xBTC и xETH

Когда ломают такие протоколы, становится очевидно:

в DeFi нет абсолютной безопасности, есть лишь осознанный риск, который мы готовы принять или нет, диверсификация вроде бы снижает общий риск для капитала, но при этом увеличивает шанс попасть в статистику протоколов, которые могут подвергнуться эксплоиту, в такие моменты многим стоит задуматься, кто использует весь капитал в DeFi - часть из него просто увести на отдельный кошелек, который не будет взаимодействовать ни с какими смарт-контрактами.

#balancer #взлом

--------------------------

YouTube | Чат | Обучение