5年間で6回の事故、損失は100 millionsを超える、老舗DeFiプロトコルBalancerのハッキング被害の歴史
Chainfeeds ガイド:
傍観者にとって、DeFiは新しい社会実験であり、参加者にとって、DeFiのハッキングは高価な教訓です。
出典:
TechFlow
見解:
TechFlow:Balancer公式は事件発生後すぐに声明を発表し、V2プールに影響を及ぼす可能性のある脆弱性攻撃を発見したことを認め、エンジニアリングおよびセキュリティチームが優先的に調査を進めていると述べました。さらに、より多くの情報が得られ次第、検証結果と今後の対応策を公表するとしています。同時に、チームは盗まれた資産の20%をホワイトハット報酬として提供し、資金回収を図る意向を表明、期限は48時間としました。この対応は迅速でしたが、公式的な印象が強く、コミュニティの不安を完全には払拭できませんでした。DeFiのベテランユーザーにとって、Balancerのハッキングはほぼ周期的なニュースとなっています。2020年の設立以来、かつて柔軟なマーケットメイカーとして称賛されたこの老舗プロトコルは、5年間で6回のセキュリティ事故を経験し、ほぼ毎年ハッカーの標的となっています。2020年6月、BalancerはデフレトークンSTAの処理における脆弱性により約52万ドルの損失を被りました。攻撃者はSTAの送金時に自動で1%の手数料がバーンされる特性を利用し、dYdXから10.4万ETHを借りてプール内で24回のループ取引を行い、プール内のSTAを使い果たし、最後には1weiだけ残し、極端に不均衡な価格でETH、WBTC、LINK、SNXを引き出しました。この事件はBalancerにとって初の大きな挫折となり、複雑なトークン互換性設計におけるプロトコルの脆弱性を露呈しました。その後数年間、Balancerは度重なるセキュリティ事件に見舞われました。2023年3月にはEuler Financeの攻撃に巻き込まれ、約1190万ドルの損失を出しました。当時、Eulerは1.97億ドルのフラッシュローン攻撃を受け、Balancerのbb-e-USDプールがEuler eTokenを保有していたため、関連資金がEulerに移され、プールのTVLの65%が失われました。チームは緊急でプールを凍結しましたが、損失は回復できませんでした。同年8月には、V2プールが「丸め誤差」脆弱性の攻撃を受け、攻撃者はBoosted Poolの精度のズレを利用してBPT供給量の計算異常を引き起こし、不正なレートで資産を引き出しました。Balancerは8月22日に事前警告を出し、ユーザーに資金撤退を呼びかけていましたが、5日後にハッカーが攻撃を成功させ、約210万ドルの損失が発生しました。9月にはDNSハイジャック事件が発生し、ハッカーはソーシャルエンジニアリングでレジストラEuroDNSを突破し、balancer.fiドメインを乗っ取り、ユーザーをフィッシングサイトに誘導、Angel Drainerの悪意あるコントラクトで承認送金を誘発しました。この事件はスマートコントラクトの脆弱性ではありませんが、Web3プロトコルが従来のインターネットセキュリティ層で脆弱であることを示しました。2024年6月にはBalancerのフォークプロジェクトVelocoreがハッキングされ、680万ドルの損失が発生しました。攻撃はCPMMプール設計のオーバーフロー脆弱性が原因で、Balancer型アーキテクチャのシステミックリスクを浮き彫りにしました。2025年11月の今回の攻撃は、これまでで最も深刻なものです。セキュリティ企業DecurityとDefimon Alertsは、脆弱性がV2プロトコルのmanageUserBalance関数のアクセス制御ロジックの誤りに起因すると指摘しています。通常、システムは呼び出し元がアカウント所有者かどうかを検証すべきですが、コードは誤ってmsg.senderとユーザー定義パラメータop.senderが等しいかどうかを検証していました。op.senderはユーザーが任意に入力できるため、攻撃者は身分を偽装し、権限検証を回避してWITHDRAW_INTERNAL操作を実行し、金庫から任意のアカウント資産を直接引き出すことができました。つまり、誰でも任意のアカウント所有者になりすまして出金できるということです。このような基本的なアクセス制御のミスが、5年間稼働してきた成熟したプロトコルで発生したことは衝撃的です。歴史を振り返ると、Balancerの複雑さと急速なイテレーションがセキュリティ境界を曖昧にし続けてきたことが分かります。最大8種類のトークンをカスタムウェイトで扱えるプール設計は柔軟性を高めましたが、攻撃面も指数関数的に拡大しました。機能追加と技術的負債の蓄積により、Balancerのコード構造はまるで脆い積み木の塔のようです。今回の脆弱性が示したのは、単なるコントラクトのミスだけでなく、DeFiの発展経路に潜む懸念です。ナラティブや資本の熱狂の中で、コードの堅牢性が二の次になっているように見えます。
免責事項:本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。
こちらもいかがですか?
Solanaはさらなる苦境に直面、2つの弱気クロスオーバーが迫る — しかし最悪期は過ぎた可能性も
Solanaの価格下落はトレーダーたちを動揺させましたが、すべてのシグナルが弱気というわけではありません。ロングポジションがほぼ清算され、ホルダーからの流出も緩和しているため、下方リスクはまもなく和らぐ可能性があります。現在、155ドルの水準がSolanaにとって反発のための重要な分岐点となっています。
Zcash(ZEC)の価格は調整リスクの中で次に594ドルを目指す — 強気派はついに譲歩するのか?
Zcash(ZEC)は、市場の弱さにもかかわらず、ほとんどのコインが下落する中で1か月間に約180%上昇し続けています。しかし、レバレッジの増加、RSIの弱気ダイバージェンス、清算リスクの拡大は、クジラの流入が勢いを保ち続けて594ドルに近づく中でも、ブル派がまもなく初めての本格的な試練に直面する可能性を示唆しています。
2025年11月に注目すべき3つのプライバシーコイン
11月、Zcash、GHOST、Dashなどのプライバシーコインが大きく上昇して注目を集めており、テクニカル分析では主要なサポートレベルが維持されればさらなる上昇の可能性が示唆されています。
ビットコインの下落が始まる — オンチェーンシグナルが「104,000ドルに備えよ」と警告
Glassnodeのレポートによると、Bitcoinの価格の弱さにより、104,000ドルの再テストの可能性が高まっています。7月以降、価格が彼らの平均取得コストを回復できなかったため、主要な買い手が投げ売りを始めています。
暗号資産価格
もっと見る
