Balancerのハッキングで1億ドル以上の損失、DeFi業界に壊滅的な打撃

Original Article Title: "Veteran DeFi Compromised: Balancer V2 Contract Vulnerability, Over $110 Million in Assets Stolen"

Original Article Author: Wenser, Odaily Planet Daily

編集者注：本日、DeFiプロトコルのBalancerがハッキング被害に遭い、盗まれた資金はすでに1.16億ドルを超えています。複数のプロジェクトが救済措置を講じており、Lidoは影響を受けていないBalancerポジションを引き上げ、BerachainはBEX上のBalancer V2関連の脆弱性に対処するため、ネットワークの一時停止と緊急ハードフォークを発表しました。

さらに、Flashbotsの戦略ディレクターでありLidoの戦略アドバイザーでもあるHasuは投稿で、「Balancer v2は2021年にローンチされて以来、最も注目され、頻繁にフォークされてきたスマートコントラクトの一つです。これは非常に懸念すべき事態です。長期間稼働しているコントラクトがハッキングされるたびに、DeFiの普及は6～12ヶ月遅れることになります。」と述べています。以下は原文の内容です：

11月3日、老舗DeFiプロトコルのBalancerが7,000万ドル以上の資産を盗まれたと報じられました。その後、このニュースは複数の関係者によって確認され、被害額は拡大し続けています。執筆時点で、Balancerから盗まれた資産は1.16億ドルを超えています。Odailyは本記事でこの事件を簡単に分析します。

Balancerハッキングの詳細：損失は1.16億ドル超、主因はv2プールのスマートコントラクトの欠陥

オンチェーン情報によると、Balancerの攻撃者は現在1.16億ドル以上の資産を盗んでおり、主な盗難資産はWETH、wstETH、osETH、frxETH、rsETH、rETHで、ETH、Base、Sonicなど複数のチェーンにまたがっています。内訳は以下の通りです：

· Ethereumチェーンで盗まれた資産：約1億ドル；

· Arbitrumチェーンで盗まれた資産：約800万ドル；

· Baseチェーンで盗まれた資産：約395万ドル；

· Sonicチェーンで盗まれた資産：340万ドル超；

· Optimismチェーンで盗まれた資産：約157万ドル；

· Polygonチェーンで盗まれた資産：約23万ドル。

Crypto KOLのAdiは、初期調査によると攻撃は主にBalancerのV2ボールトと流動性プールを標的とし、スマートコントラクトの相互作用の脆弱性を悪用したと投稿しました。オンチェーン調査員は、悪意のあるコントラクトがプール初期化時にVaultコールを操作したと指摘しています。不適切な認可とコールバック処理により、攻撃者は保護措置を回避し、相互接続された流動性プール間での不正なスワップやバランス操作が可能となり、数分以内に急速な資産盗難が発生しました。

現時点で得られている情報によれば、秘密鍵の漏洩は確認されておらず、純粋にスマートコントラクトの脆弱性によるものです。

監査会社kebabsecの監査人でありcitreaの開発者である@okkothejawaも、「@moo9000が指摘したチェックエラーは根本原因ではない可能性があり、すべての'manageUserBalance'コールでops.sender == msg.senderとなっています。セキュリティ脆弱性は、資産を抽出するコントラクト作成前のトランザクションで発生した可能性があり、Balancerボールトの状態変化を引き起こしました」と述べています。

Balancerの公式回答では、「当社チームはBalancer v2プールに影響を与える可能性のある脆弱性を認識しています。エンジニアリングおよびセキュリティチームが最優先で調査を進めており、詳細が判明次第、直ちに検証済みの最新情報と今後の対応を共有します」と述べています。

資産損失リスクが懸念されるBerachainも迅速に対応しました。Berachain Foundationの投稿を受け、Berachain創設者のSmokey The Beraは「Beraノードグループは、Balancerの脆弱性がBEX（主にUSDeスリープール）に影響を及ぼすのを防ぐため、パブリックチェーンの運用を積極的に一時停止しました」と述べました。

· EthenaチームにBeraブリッジの無効化を指示

· レンディング市場でのUSDe入金を無効化/一時停止

· HONEYトークンの発行と交換を一時停止

· CEXと連携し、ハッカーアドレスのブラックリスト化を徹底

私たちの目標は、できるだけ早く資金を回収し、すべてのLPの安全を確保することです。Berachainチームは準備が整い次第、関連ノードバリデーターやサービスプロバイダーにバイナリを即時リリースします（このプールには非ネイティブ資産が含まれているため、単なるBeraトークン残高の修正だけでなく、スロットの再構成も必要です）。

Balancerハッキング：最も神経質になるのは仮想通貨クジラ

老舗DeFiプロトコルとして、Balancerのユーザーは今回のハッキングで最も直接的な影響を受けています。現ユーザーが取れる行動は以下の通りです：

· さらなる損失を防ぐため、Balancer v2プールから資金を引き出す；

· 承認解除：Revoke、DeBank、Etherscanを利用してBalancerアドレスのスマートコントラクト権限を解除し、潜在的なセキュリティリスクを回避する；

· 警戒を怠らない：Balancer攻撃者の次の動きや、他のDeFiプロトコルへの波及影響があるかどうかを注視する。

また、3年間休眠していた仮想通貨クジラが今回のハッキングで注目を集めました。

LookonChainの監視によると、アドレス0x009023dA14A3C9f448B75f33cEb9291c21373bD8の3年間休眠していた仮想通貨クジラが、Balancerプラットフォームの脆弱性発生後に突然活動を再開しました。このクジラは、Balancerから関連資産650万ドルを引き出そうとしています。オンチェーン情報：

最新動向：ハッカーがトークン交換パターンを開始

オンチェーンアナリストYu Jinの監視によると、Balancerハッキングのハッカーは、多くの流動性ステーキングトークン（LST）をETHに交換し始めています。以前、ハッカーは10 osETHを10.55 ETHに交換しました。

オンチェーンデータによれば、ハッカーはCow Protocolを利用し、複数チェーンで盗んだ資産をETH、USDCなどに継続的に交換しています。現時点でこれらの盗難資産の回収は極めて困難とみられます。

今後、Balancerがプロトコルコントラクトの脆弱性を迅速に特定し、盗難資産を早期に回収できるか、または対応策を提供できるかどうか、Odailyは引き続き追跡します。