11回の監査でもBalancerの1.28億ドルハッキングは防げず、DeFiリスクの再定義へ

長年にわたり、BalancerはDeFiの中でも最も信頼性の高いプロトコルの一つとして存在してきました。複数回のベアマーケット、監査、統合を乗り越え、スキャンダルもなく運営されてきました。

しかし、その信頼性は11月3日に崩壊しました。ブロックチェーンセキュリティ企業PeckShieldが、Balancerおよびその複数のフォークが複数チェーンにわたり進行中のエクスプロイト（悪用）を受けていると報告したのです。

数時間のうちに、1億2800万ドル以上が消失し、資金が抜き取られたプール、凍結されたプロトコル、動揺する投資家たちが残されました。

PeckShieldのデータによると、Ethereum上のBalancerプロトコルが最も大きな損失を被り、約1億ドルが失われました。続いてBerachainが1290万ドル、Arbitrum、Base、Sonic、Optimism、Polygonなどの小規模なフォークも、規模は小さいながらも依然として重要な被害を受けました。

Total Funds Stolen from Balancer Hack (Source: Peckshield)

資金流出が進む中、Balancerは「Balancer v2プールに影響を与える可能性のあるエクスプロイト」を認め、エンジニアリングおよびセキュリティチームが最優先で問題を調査していると発表しました。

しかし、この認知は統合先やフォークでの資金引き出しを抑制する効果はほとんどありませんでした。

その日の終わりには、DeFiLlamaのデータによると、Balancerの総預かり資産（TVL）は46%減少し、報道時点で7億7000万ドルから約4億2200万ドルにまで落ち込みました。

Balancer DeFi Hack (Source: DeFiLlama)

何が起こったのか？

ブロックチェーンセキュリティ企業Phalconによる初期のフォレンジック分析では、攻撃者はBalancer Pool Tokens（BPT：流動性プール内のユーザーシェアを表すトークン）を標的にしていたことが示されました。

同社によれば、脆弱性はBalancerがバッチスワップ中にプール価格を計算する方法に起因していました。このロジックを操作することで、攻撃者は内部の価格フィードを歪め、システムが自己修正する前にトークンを引き出すことができる人工的な不均衡を作り出しました。

How Attacker Exploited Balancer Code (Source: Phalcon)

暗号アナリストのAdiはこう書いています：

「不適切な認可とコールバック処理により、攻撃者はセーフガードを回避できました。これにより、相互接続されたプール間での無許可のスワップやバランス操作が可能となり、資産が短時間（数分以内）で流出しました。」

一方で、長らく柔軟性が称賛されてきたBalancerのコンポーザブル・ボールトアーキテクチャが被害を拡大させました。ボールト同士が動的に参照し合えるため、その歪みが相互接続されたプール全体に波及したのです。

興味深いことに、CoinbaseのConor Groganは、攻撃者の手法がプロフェッショナルな熟練度を示唆していると指摘しました。

Groganは、攻撃者のアドレスが最初にTornado Cashから100 ETHで資金提供されていたことに注目し、資金が以前のエクスプロイトから来ている可能性を示唆しました。

「人は普通、遊びでTornado Cashに100 ETHを預けたりしません」と彼は書き、この取引パターンが経験豊富で過去にも活動していたハッカーであることを示していると述べました。

DeFi信頼の崩壊

エクスプロイト自体は技術的なものでしたが、その影響は心理的なものでした。

Balancerは長らく、流動性提供者にとって保守的な場所、資産を預けて控えめで安定した利回りを得る場所と見なされてきました。その長寿命、監査、主要DeFiプラットフォームとの統合が、「持続性＝安全」という幻想を育んでいました。しかし、11月3日の侵害はその物語を一夜にして打ち砕きました。

暗号プラットフォームRotkiの創設者Lefteris Karapetsasは、これを「信頼の崩壊」であり、単なるDeFiプラットフォームのハッキングではないと表現しました。

彼は次のように嘆きました：

「2020年から稼働し、監査され広く使われているプロトコルでさえ、TVLのほぼ全損を被ることがある。これはDeFiが『安定している』と信じる人にとっては大きな警告サインだ。」

この反応はより広範な感情を捉えています。自己管理と検証可能なコードが重視される市場において、信頼は静かにDeFiの隠れた基盤となっていました。

Balancerの失敗は、数学的に健全なシステムでさえ予期せぬ複雑さに脆弱であることを示しました。

Cork Protocolの匿名開発者Robdogはこう述べています：

「[DeFi]の基盤はますます安全になってきているものの、悲しい現実としてスマートコントラクトリスクは常に身近にある。」

DeFiへの影響

Balancerのエクスプロイトは、分散型金融にとって微妙なタイミングで発生し、短い平穏の期間を打ち砕きました。10月には、ハッキングによる総損失額が年間最低のわずか1800万ドルにまで減少していました（PeckShield調べ）。

しかし、11月のたった一件の事件で、その数字はすでに1億2000万ドルを超え、2025年でDeFi侵害としては3番目に悪い月となっています。

Monthly DeFi Hacks Losses in 2025 (Source: DeFiLlama)

一方で、この攻撃はDeFiの根本的なパラドックスを浮き彫りにしています。すなわち、プロトコル同士が接続し合い、相互に構築できる「コンポーザビリティ」という特徴が、同時にシステミックリスクを増幅させるということです。

Balancerのような中核プロトコルが壊れると、それに依存するネットワーク全体に即座に影響が波及します。

Berachainでは、バリデーターが伝染を防ぐためにブロック生成を一時停止しました。他のプロトコルも貸付やブリッジ機能の一時停止で追随しました。

こうした迅速な対応は損失を限定しましたが、同時にDeFiが伝統的金融を安定させる調整メカニズムを持たないことを浮き彫りにしました。

この分野には規制当局も中央銀行も義務付けられたセーフティネットもありません。代わりに、危機管理は開発者や監査人が連携し、しばしば数分以内に被害を封じ込めることに大きく依存しています。

これを踏まえ、Robdogはこう述べています：

「これこそ、より良いリスク管理インフラを開発する必要性を思い出させる良い機会だ。」

即時的な技術的損失を超えて、信頼へのダメージは修復がより困難かもしれません。

大規模なエクスプロイトが起こるたびに、自己規制型コードというDeFiの約束への信頼が損なわれます。業界への参入を検討する機関投資家にとって、繰り返される失敗は分散型市場が依然として実験段階であることを示しています。

Karapetsasは次のように述べました：

「これほど脆弱なシステムに本格的な資本が割り当てられることはない。」

この認識はすでに世界の主要経済圏で政策形成に影響を与え始めています。

著名なweb3開発者Suhail Kakarは、Balancerエクスプロイト後の厳しい現実を強調しました。すなわち、複数回の大規模なセキュリティ監査を受けてもDeFiの安全性は保証されないということです。

彼が指摘したように、Balancerは10回以上の監査を受けており、そのコアボールトコントラクトは複数の独立系企業によってレビューされていました。それでもプロトコルは大規模な侵害を受けました。

Kakarの指摘は、業界内で高まる「Xによる監査済み」という表現がもはや絶対的な安全の証ではなく、むしろ分散型システムの本質的な複雑さと予測不可能性、そして十分にテストされたコードでさえ見えない脆弱性を内包しうることを反映しているという認識を強調しています。

Balancer V2 Audits (Source: Balancer docs via Suhail Kakar)

米国当局は、DeFiプロトコルに規制を導入するための枠組みを策定中です。業界関係者は、Balancerエクスプロイトがこうした取り組みを加速させると予想しており、政策立案者は暗号資産と伝統的金融業界の統合が進む中で増大するリスクに取り組んでいます。