😰 Balancer подтвердил взлом своих V2 Composable Stable Pools, из-за которого было выведено около $110–116 млн (по обновлённым данным — до $128 млн) в сетях Ethereum, Base и Sonic.
✍️ Как это произошло
✔️ Атакующий использовал уязвимость в смарт-контрактах Balancer V2 — центральном хабе ликвидности, который агрегирует токены из пулов и обрабатывает свопы.
Эта уязвимость позволила манипулировать внутренними балансами без необходимых разрешений.
✔️ В основе атаки лежала двойная уязвимость в механике swap/imbalance, потеря точности (precision loss), манипуляция инвариантами (invariant manipulation)
Благодаря этому злоумышленник получил возможность выводить средства из хранилищ без аутентификации, обходя внутренние проверки смарт-контрактов.
🫡 Масштаб атаки
Эксплойт затронул не только Ethereum, но и Berachain, Arbitrum, Base, Sonic, Optimism и Polygon,
что сделало атаку кросс-чейн и значительно увеличило ущерб.
🔹 Первоначально ущерб оценивался в ~$70 млн
🔹 К 4 ноября — уже $128 млн потерь
🤷♀️ Это пятый крупнейший DeFi-хак 2025 года, несмотря на 11 проведённых аудитов.
👐 Balancer сообщил, что:
✔️Инцидент не затронул V3 и другие типы пулов;
✔️Новые пулы были быстро приостановлены, но многие старые не попали в окно приостановки;
✔️Команда сотрудничает с PeckShield, Nansen и другими компаниями по безопасности, они сообщают что компрометации приватных ключей не зафиксировано.
Контракты Balancer работают уже более 4 лет, и команда, скорее всего предпринимала все возможные меры безопасности, включая дорогостоящие аудиты, но, как видно, уязвимости могут быть найдены даже спустя годы.
👌 Balancer считался Tier-1/2 протоколом, заслуживающим доверия.
Я и сам с ним работаю — но исключительно с V3 пулами, так что на этот раз пуля пролетела рядом с ухом.
😰 Уязвимость висела на виду четыре года — в контракте, который читали, проверяли и копировали десятки раз.
И это разрушает главное заблуждение DeFi:
“Много аудитов = гарантия безопасности и эталон надежности", на самом деле аудиты снижают риск, не не убирают его и этот случай нам наглядно это демонстрирует.
Когда рушатся Tier-1 (2) протоколы - это действительно страшно...
☕️ Cetus, GMX, Balancer… Кто следующий?
Представьте, если атака доберётся до AAVE или Uniswap —
под ударом окажется всё доверие к DeFi.
🚫 Сейчас не советую использовать активы, связанные с токенами Stream Finance, xUSD, xBTC и xETH
Когда ломают такие протоколы, становится очевидно:
в DeFi нет абсолютной безопасности, есть лишь осознанный риск, который мы готовы принять или нет, диверсификация вроде бы снижает общий риск для капитала, но при этом увеличивает шанс попасть в статистику протоколов, которые могут подвергнуться эксплоиту, в такие моменты многим стоит задуматься, кто использует весь капитал в DeFi - часть из него просто увести на отдельный кошелек, который не будет взаимодействовать ни с какими смарт-контрактами.
#balancer #взлом
--------------------------
