Balancer padł ofiarą włamania na kwotę 129 mln dolarów

Atak dotknął pul v2 w sieciach Ethereum, Arbitrum, Base, Optimism, Polygon i Sonic. Według danych PeckShield, skala strat nadal rośnie, ponieważ cyberprzestępcy przenoszą aktywa między adresami.

Balancer potwierdził fakt włamania na X (dawniej Twitter), zaznaczając, że inżynierowie i specjaliści ds. bezpieczeństwa badają ten incydent w trybie priorytetowym. W momencie publikacji DefiLlama oszacowała TVL protokołu na ponad 700 mln dolarów — oznacza to, że skradziono około 18% środków zgromadzonych w pulach.

Włamanie stało się możliwe dzięki naruszeniu mechanizmu kontroli dostępu, co pozwoliło atakującym bezpośrednio manipulować wewnętrznymi saldami. Potwierdzają to dane Decurity: luka w funkcji manageUserBalance dała hakerowi możliwość wyprowadzania tokenów bez autoryzacji.

Sytuację pogorszyło to, że exploit rozprzestrzenił się na projekty korzystające z forków Balancer v2 — w szczególności Beets na Sonic, który stracił kolejne 3,4 mln dolarów. W sieci Berachain walidatorzy zostali zmuszeni do natychmiastowego wstrzymania pracy w celu przeprowadzenia hard forka.

Wkrótce po ataku na platformę Polymarket gwałtownie wzrosły stawki, że w 2025 r. dojdzie do co najmniej jednego włamania, którego straty przekroczą 100 mln dolarów — prawdopodobieństwo tego zdarzenia wzrosło z 25% do 99%.

Przypomnijmy, że Balancer już wcześniej miał problemy z bezpieczeństwem: w 2023 roku stracił 2 miliony dolarów z powodu manipulacji kursem w Boosted Pools, a później poinformował o włamaniu do interfejsu frontendowego. Jednak obecny atak był największym w historii protokołu i wywołał nową falę dyskusji na temat wiarygodności audytów smart kontraktów DeFi — nawet w projektach o wieloletniej reputacji.