Как 11 аудитов не смогли предотвратить взлом Balancer на $128 миллионов, переосмыслив риски DeFi

В течение многих лет Balancer считался одним из самых надежных институтов DeFi — протоколом, который пережил несколько медвежьих рынков, аудиты и интеграции без скандалов.

Однако эта репутация рухнула 3 ноября, когда компания по обеспечению безопасности блокчейна PeckShield сообщила, что Balancer и несколько его форков подвергаются активной атаке, распространяющейся по нескольким сетям.

Всего за несколько часов было похищено более $128 миллионов, оставив за собой след опустошённых пулов, замороженных протоколов и потрясённых инвесторов.

По данным PeckShield, протокол платформы на Ethereum понёс наибольшие потери — около $100 миллионов. Berachain последовал с $12,9 миллиона, а Arbitrum, Base и более мелкие форки, такие как Sonic, Optimism и Polygon, зафиксировали меньшие, но всё же значительные кражи.

Total Funds Stolen from Balancer Hack (Source: Peckshield)

По мере того как происходило опустошение, Balancer признал наличие «потенциальной уязвимости, затрагивающей пулы Balancer v2», заявив, что его инженерные и службы безопасности расследуют проблему с высоким приоритетом.

Однако это признание мало повлияло на замедление вывода средств через интеграторов и форки.

К концу дня, по данным DeFiLlama, общий заблокированный объем средств (TVL) Balancer снизился на 46% — примерно до $422 миллионов с $770 миллионов на момент публикации.

Balancer DeFi Hack (Source: DeFiLlama)

Что произошло?

Предварительный анализ от компании по безопасности блокчейна Phalcon показал, что злоумышленник нацелился на Balancer Pool Tokens (BPT), которые представляют доли пользователей в пулах ликвидности.

По данным компании, уязвимость возникла из-за того, как Balancer рассчитывал цены пулов во время пакетных свопов. Манипулируя этой логикой, эксплойтер исказил внутренний ценовой фид, создав искусственный дисбаланс, который позволил ему вывести токены до того, как система скорректировалась.

How Attacker Exploited Balancer Code (Source: Phalcon)

Криптоаналитик Adi написал:

«Неправильная авторизация и обработка обратных вызовов позволили злоумышленнику обойти защитные механизмы. Это дало возможность несанкционированных свопов или манипуляций балансами между связанными пулами, что привело к быстрому (в течение минут) выводу активов.»

Тем временем, компонуемая архитектура хранилищ Balancer, долгое время хвалившаяся своей гибкостью, усилила ущерб. Поскольку хранилища могли динамически ссылаться друг на друга, искажение распространилось по связанным пулам.

Интересно, что Conor Grogan из Coinbase отметил, что подход злоумышленника свидетельствует о профессионализме.

Grogan отметил, что адрес злоумышленника изначально был профинансирован 100 ETH с Tornado Cash, что подразумевает, что средства, вероятно, поступили из предыдущих эксплойтов.

«Люди обычно не держат 100 ETH в Tornado Cash просто так», — написал он, предполагая, что характер транзакций указывает на опытного и ранее активного хакера.

Крах доверия к DeFi

Хотя сам эксплойт был техническим, его воздействие оказалось психологическим.

Balancer долгое время считался консервативной площадкой для поставщиков ликвидности — местом, где можно разместить активы и получать скромную, стабильную доходность. Его долговечность, аудиты и интеграции с ведущими платформами DeFi создавали иллюзию, что устойчивость равна безопасности. Взлом 3 ноября разрушил этот нарратив за одну ночь.

Lefteris Karapetsas, основатель криптоплатформы Rotki, назвал это «крахом доверия», а не просто взломом DeFi-платформы.

Он выразил сожаление по поводу того, что:

«Протокол, работающий с 2020 года, прошедший аудит и широко используемый, всё равно может понести почти полную потерю TVL. Это тревожный сигнал для всех, кто считает, что DeFi ‘стабилен’.»

Эта реакция отражает более широкие настроения. На рынке, где ценятся самокастодиальные решения и проверяемый код, уверенность тихо заменила доверие как скрытый фундамент DeFi.

Провал Balancer показал, что даже математически обоснованные системы уязвимы к непредвиденной сложности.

Robdog, псевдоним разработчика Cork Protocol, сказал:

«Хотя основы [DeFi] становятся всё безопаснее, печальная реальность такова, что риск смарт-контрактов окружает нас повсюду.»

Последствия для DeFi

Эксплойт Balancer произошёл в деликатный момент для децентрализованных финансов, разрушив короткий период спокойствия. В октябре, по данным PeckShield, общие потери от взломов снизились до годового минимума — всего $18 миллионов.

Однако всего один инцидент в ноябре уже увеличил эту цифру до более чем $120 миллионов, что делает этот месяц третьим по величине убытков от взломов DeFi в 2025 году.

Monthly DeFi Hacks Losses in 2025 (Source: DeFiLlama)

Между тем, эта атака подчеркивает фундаментальный парадокс в основе DeFi: компонуемость, функция, позволяющая протоколам соединяться и строиться друг на друге, также усиливает системный риск.

Когда ломается такой ключевой протокол, как Balancer, последствия мгновенно распространяются по сетям, которые от него зависят.

На Berachain валидаторы приостановили производство блоков, чтобы предотвратить распространение. Другие протоколы последовали, временно приостановив функции кредитования и мостов.

Эти быстрые меры ограничили убытки, но также подчеркнули более широкую истину: DeFi функционирует без координационных механизмов, которые стабилизируют традиционные финансы.

В этой сфере нет регуляторов, центральных банков или обязательных механизмов поддержки. Вместо этого управление кризисами во многом зависит от разработчиков и аудиторов, которые работают совместно, зачастую в течение минут, чтобы сдержать последствия.

Учитывая это, Robdog сказал:

[Это] хорошее напоминание о том, почему нам нужно развивать лучшую инфраструктуру управления рисками.»

Помимо непосредственных технических потерь, ущерб доверию может быть труднее восстановить.

Каждый крупный эксплойт подрывает уверенность в обещании DeFi о саморегулируемом коде. Для институциональных инвесторов, рассматривающих возможность выхода на этот рынок, повторяющиеся неудачи сигнализируют о том, что децентрализованные рынки остаются экспериментальными.

Karapetsas отметил:

«Ни один серьёзный капитал не будет размещаться в системах, настолько хрупких.»

Это восприятие уже формирует политику в ведущих экономиках мира.

Suhail Kakar, известный разработчик web3, отметил отрезвляющую реальность после эксплойта Balancer: даже многочисленные, широко известные аудиты безопасности не могут гарантировать безопасность в DeFi.

Как он отметил, Balancer прошёл более десяти аудитов, а его основной контракт хранилища был проверен несколькими независимыми компаниями; тем не менее, протокол всё равно подвергся крупному взлому.

Тезис Kakar подчёркивает растущее мнение в отрасли, что «аудировано компанией X» больше не является признаком безошибочности; скорее, это отражает присущую сложность и непредсказуемость децентрализованных систем, где даже хорошо протестированный код может содержать скрытые уязвимости.

Balancer V2 Audits (Source: Balancer docs via Suhail Kakar)

Власти США разрабатывают рамки, которые введут регулирование протоколов DeFi. По мнению наблюдателей отрасли, эксплойт Balancer ускорит эти усилия, поскольку политики сталкиваются с растущим риском дальнейшей интеграции криптовалют и традиционной финансовой индустрии.