2025年最大級のDeFiハッキング発生 Balancerから約1億2,800万ドル流出

BalancerのV2流動性プールがマルチチェーン攻撃を受け被害額が約1億2,800万ドルに

DeFi（分散型取引所）の Balancer で大規模な不正流出が発生した。

自動マーケットメーカー（AMM）を備える同プロトコルのV2流動性プールを中心に攻撃が行われ、被害総額は約1億2,800万ドル（約196億円）に拡大した。 PeckShield （ペックシールド）や Nansen （ナンセン）、Lookonchain（ルックオンチェーン）などのオンチェーン分析によれば、資金移動は複数のチェーンにまたがって継続している。BalancerのモデレーターはコミュニティでV2プールの影響を確認し、V3プールは現時点で安全とみられている。

Today, around 7:48 AM UTC, an exploit affected Balancer V2 Composable Stable Pools.

Our team is working with leading security researchers to understand the issue and will share additional findings and a full post-mortem as soon as possible.

Because these pools have been live… pic.twitter.com/LRLNNXogt3

— Balancer (@Balancer) November 3, 2025

攻撃の概要と被害の全容を追う

Balancer公式は、2025年11月4日午前7時48分（※日本時間：同日16:48分）頃にV2のComposable Stable Poolsで脆弱性を突いたエクスプロイトが発生したことを確認した。

チームはセキュリティ研究者と連携して原因の究明を進めており、詳細な分析結果とポストモーテムを後日共有するとしている。また、影響を受けたプールの一部は停止処理を行い、現在はリカバリーモードに入っていると報告した。V3を含む他のBalancerプールには影響がないことも強調された。

初動の分析では、アクセス制御の不備やスワップの不均衡を突かれ、V2の金庫および連動する流動性プールから資金が引き出された。対象資産はWETH、osETH、wstETHなどで、イーサリアム（Ethereum）を起点にアービトラム（Arbitrum）、ベース（Base）、ポリゴン（Polygon）、ベラチェーン（Berachain）、オプティミズム（Optimism）、ソニック（Sonic）へと被害が波及した。オンチェーンでは、Balancerの主要ウォレットから外部アドレスへの大口送金が複数回確認され、攻撃者はブリッジやミキサーを介して資金を集約している。被害額はその後の集計で約1億2,864万ドルまで更新され、2025年のDeFiで最大級の攻撃として位置づけられている。

Balancerは過去にも2020年のフラッシュローン攻撃、2023年のDNSフィッシング被害を経験しており、今回が三度目の重大インシデントとなる。

DeFiセキュリティを再点検する必要性が指摘される

今回の事案は、成熟したプロトコルでもアクセス制御や構成の不備が残存し得る現実を示した。

マルチチェーン化が進む一方で、監査後の仕様変更やプール間の相互依存が複雑化し、検知と封じ込めを難しくしている。運営側には、金庫権限の最小化、プール設定の継続監査、異常スワップや急激な残高変動の自動検知など、継続的な監視体制を維持する必要性が指摘されている。利用者と流動性提供者にとっても、プールのバージョンや権限設計、監視アラートの有無を定期的に確認することがリスク軽減につながる。

DeFi領域ではBunniなど他のプロトコルでも被害が相次いでおり、攻撃手法は金庫権限の迂回やプール間の連鎖的な資金移動へと高度化している。Balancerのケースは、監査やバグ修正を単発で終わらせず、運用中のリアルタイム監視と事後検証を継続的に回す体制づくりの必要性を浮き彫りにした。プロトコル、監査機関、アナリストが連携した早期警戒と即応の仕組みを構築することが、信頼回復の鍵となる。