За 5 лет 11 аудитов и 6 взломов: почему у Balancer с такой черной историей все еще есть поклонники

Дэн Тон, Jinse Finance

3 ноября 2025 года DeFi-протокол Balancer подвергся хакерской атаке, в результате которой было похищено более 100 миллионов долларов цифровых активов. Команда Balancer отметила: «Мы заметили возможную уязвимость в пулах Balancer v2, наши инженерные и команды по безопасности приоритетно занимаются расследованием».

В этой статье рассматривается ход атаки на Balancer, приводятся реакции различных сторон, анализируется история инцидентов с Balancer и обсуждается, почему, несмотря на частые инциденты с безопасностью, у Balancer по-прежнему много поклонников.

1. Обзор атаки на Balancer

В понедельник децентрализованная биржа и автоматический маркет-мейкер Balancer подверглись хакерской атаке, в результате которой цифровые активы на сумму более 116 миллионов долларов были переведены на вновь созданный кошелек.

В понедельник команда Balancer опубликовала пост на X, в котором говорится: «Мы заметили возможную уязвимость, затрагивающую пулы Balancer v2. Наши инженерные и команды по безопасности проводят приоритетное расследование». Как только появится больше информации, мы поделимся дальнейшими обновлениями.

Первоначальные данные on-chain показывают, что Balancer подвергся атаке и потерял ликвидные стейкинговые Ethereum на сумму 70,9 миллионов долларов. Логи Etherscan показывают, что Ethereum был переведен на новый кошелек тремя транзакциями.

Платформа криптоаналитики Nansen в посте на X сообщила, что среди украденных активов — 6 850 StakeWise staked ETH (OSETH), 6 590 Wrapped Ether (WETH) и 4 260 Lido wstETH (wSTETH).

Однако сумма украденных активов не ограничилась 70,9 миллионами долларов — сумма продолжала расти. По данным блокчейн-платформы Lookonchain, по состоянию на понедельник, 8:52 утра (UTC+8), продолжающаяся атака увеличила сумму похищенных средств до более чем 116,6 миллионов долларов.

Balancer ранее обратился к хакеру on-chain: команда готова выплатить 20% от украденных активов в качестве white-hat награды за возврат средств, предложение действительно в течение 48 часов. Если средства не будут возвращены в течение следующих 48 часов, Balancer продолжит сотрудничество с экспертами по блокчейн-экспертизе и правоохранительными органами для установления личности злоумышленника. Balancer отметил: «Наши партнеры уверены, что собранные через нашу инфраструктуру метаданные логов доступа позволят идентифицировать вашу личность, эти метаданные показывают соединения с определенного набора IP-адресов/ASN и временные метки входа, связанные с on-chain активностью».

Вскоре после этого Balancer написал в X: мы заметили возможную уязвимость в пулах Balancer v2. Наши инженерные и команды по безопасности приоритетно занимаются расследованием. Как только появится больше информации, мы оперативно поделимся проверенными обновлениями и дальнейшими шагами.

Balancer опубликовал на X: «Сегодня около 7:48 утра по всемирному координированному времени (UTC) Composable Stable Pools Balancer V2 подверглись атаке. Наша команда сотрудничает с ведущими исследователями безопасности для выяснения причин инцидента и в ближайшее время поделится результатами расследования и полным пост-мортем отчетом. Поскольку эти пулы работают on-chain уже много лет, многие из них вышли за пределы окна, в течение которого их можно было бы приостановить. Все еще приостанавливаемые пулы уже были приостановлены и находятся в режиме восстановления. Другие пулы Balancer не пострадали. Проблема затрагивает только Composable Stable Pools V2 и не влияет на Balancer V3 или другие типы пулов. Внимание: в сети появились мошеннические сообщения, выдающие себя за команду безопасности Balancer — они не исходят от нас. Не взаимодействуйте с такими неизвестными источниками и не переходите по подозрительным ссылкам.»

По данным on-chain аналитика Yu Jin, сегодня рано утром StakeWise с помощью контракта вернул 5 041 osETH (19,3 миллиона долларов) у хакера Balancer. Таким образом, сумма украденных активов снизилась с 117 миллионов долларов до 98 миллионов долларов. Хакер постепенно обменивал LST на ETH, и на данный момент более половины украденных активов уже конвертированы в ETH.

2. Анализ причин кражи

Balancer подвергся атаке, связанной с бухгалтерской уязвимостью. Trading Strategy, Nansen и Phalcon объяснили эту атаку с разных точек зрения.

Генеральный директор и соучредитель Trading Strategy Микко Охтаамаа отметил, что предварительный анализ указывает на дефект в проверке смарт-контракта как на основную причину.

Аналитик Nansen Николай Сондергаард заявил, что злоумышленник, возможно, «сфабриковал крупную комиссию, внесенную на комиссионный счет Balancer, а затем нажал кнопку вывода, обменяв WETH на наличные — по сути, обменяв фиктивные баллы на реальные деньги».

По предварительным данным блокчейн-компании Phalcon, целью злоумышленника были Balancer Pool Tokens (BPT), которые представляют долю пользователя в пуле ликвидности. По данным компании, уязвимость возникла из-за способа расчета цены пула Balancer во время массового обмена. Хакер манипулировал этой логикой, искажая внутреннюю ценовую информацию, искусственно создавая ценовой дисбаланс и извлекая токены до того, как система смогла самовосстановиться.

Криптоаналитик Adi отметил: «Неправильная авторизация и обработка обратных вызовов позволили злоумышленнику обойти меры безопасности. Это дало возможность проводить несанкционированные обмены или манипуляции балансами между связанными пулами, что позволило за считанные минуты истощить активы».

Conor Grogan из Coinbase отметил, что действия злоумышленника свидетельствуют о профессионализме: адрес хакера изначально был профинансирован 100 ETH через Tornado Cash, что говорит о вероятном происхождении средств из предыдущих эксплойтов. «Обычно никто не кладет 100 ETH в Tornado Cash ради забавы» — это поведение опытного хакера.

3. Реакция на атаку Balancer

1. Рынок криптовалют резко упал

Из-за негативного влияния взлома Balancer и давления со стороны хакера, сбросившего почти 100 миллионов долларов, весь крипторынок оказался под давлением, а SOL за 24 часа упал почти на 10%. На момент публикации BTC стоил 104 577 долларов (UTC+8), снижение за 24 часа составило 2,6%; ETH — 3 506 долларов (UTC+8), снижение за 24 часа — 5,6%.

BAL, нативный токен управления протоколом Balancer, зафиксировал двузначное падение. На момент публикации BAL стоил 0,8376 доллара (UTC+8), снижение за 24 часа — 12,6%.

2. Влияние на форки Balancer

Соучредитель Redstone Марчин в X предупредил: форки Balancer, такие как Beets на Sonic, также пострадали. По данным DefILlama, всего за час TVL BEX быстро снизился с 54 миллионов долларов до примерно 41 миллиона долларов (UTC+8), падение более чем на 24%. Кроме того, BEX на Berachain также может быть затронут, TVL Beets составляет около 10 миллионов долларов (UTC+8), падение за полчаса — более 30%.

Официальный аккаунт Sonic в X сообщил, что из-за атаки на Balancer, затронувшей экосистемный проект Beets, команда внедрила механизм безопасности, который будет реализован в предстоящем обновлении сети. Кроме того, два связанных с хакером кошелька (0xf19f, 0x0453) были заморожены в ожидании дальнейшего расследования. Sonic будет сотрудничать с командой Beets для дальнейших действий.

Фонд Berachain сообщил, что валидаторы координированно приостановили работу сети Berachain, чтобы основная команда могла провести экстренный хардфорк и устранить уязвимость, связанную с Balancer V2 на BEX. Это плановая остановка, сеть вскоре возобновит работу.

GoPlus также сообщил в социальных сетях, что все DeFi-проекты, форкнутые от Balancer, подвержены этой уязвимости, и уже несколько протоколов были атакованы. Рекомендуется проверить список форков Balancer на сайте Defillama, немедленно прекратить взаимодействие с ними и как можно скорее вывести активы для собственной безопасности.

3. Lido вывел свои непострадавшие позиции в Balancer

Lido сообщил, что некоторые пулы BalancerV2 подверглись атаке. Протокол Lido не пострадал, все средства пользователей в безопасности. В качестве меры предосторожности управляющая команда Lido GGV Veda вывела свои непострадавшие позиции в Balancer. Все средства Lido Earn по-прежнему в безопасности.

4. xUSD потерял привязку и упал на 75,7%

За последние 24 часа (UTC+8) Staked Stream USD (XUSD) потерял привязку примерно на 75,7% — это цепная реакция, вызванная атакой на Balancer. Stream Finance сообщил: внешний управляющий фондом сообщил о потере примерно 93 миллионов долларов в фондах Stream под его управлением. Stream нанял юристов Keith Miller и Joseph Cutler из Perkins Coie LLP для проведения полного расследования. В настоящее время Stream выводит все ликвидные активы и объявил о приостановке всех депозитов и снятий, дальнейшие обновления будут публиковаться регулярно.

5. Киты выводят средства

Вследствие хакерской атаки кит 0x0090, который не проявлял активности три года, только что проснулся после атаки на Balancer — срочно вывел все свои 6,5 миллиона долларов из Balancer (UTC+8).

6. Реакция пользователей

Контент-креатор PythiaCrypto отметил: «С юридической и с точки зрения безопасности, что еще можно сделать? Единственный способ — найти украденные средства, заморозить их и вернуть жертвам. Если это невозможно, то нет никакого способа привлечь вора к ответственности или компенсировать пострадавших».

Другие пользователи возмущены:

«Это одна из самых потенциально опасных уязвимостей в истории».

«После потери 116 миллионов еще говорить о “потенциале” — это безумие».

«XMR получит вливание в 110 миллионов долларов».

«От Cetus Protocol до Nemo Finance и теперь Balancer Finance? Все это произошло в одном году! Стоит ли нам беспокоиться об использовании DeFi? Это ведь “будущее финансов”, не так ли?»

4. Одиннадцать аудитов — и все равно взлом: история Balancer

Сколько аудитов прошел Balancer? 11.

Руководитель по связям с разработчиками TAC Blockchain Сухайл Какар отметил: «Balancer прошел более десяти аудитов, хранилище было проверено разными компаниями трижды, но все равно был взломан, потеряв до 1,1 миллиарда долларов. В этой сфере нужно понять, что “прошел X аудитов” почти ничего не значит. Код сложен, DeFi еще сложнее».

Согласно списку аудитов Balancer V2 на GitHub, четыре разные компании по безопасности — OpenZeppelin, Trail of Bits, Certora и ABDK — провели 11 аудитов смарт-контрактов платформы, последний из которых был проведен Trail of Bits в сентябре 2022 года для стабильных пулов.

Криптоаналитик Antyzo отметил: «Экономия на аудите безопасности всегда оборачивается против вас. Надеюсь, средства пользователей в безопасности. Для любого DeFi-протокола аудит — это базовая необходимость, а не необязательные расходы».

Соучредитель UntradenOrg ReiSoleil отметил: «Молчание аудиторов оглушает».

Соучредитель PegaX Neighman отметил: «Balancer прошел множество аудитов, учредил баг-баунти на 1 миллион долларов, но все равно столкнулся с этой катастрофой. В этой сфере безопасность всегда должна быть на первом месте, это базовое требование. То же касается и on-chain торговых платформ».

Долгое время Balancer считался консервативным выбором для поставщиков ликвидности — местом для хранения активов и получения стабильного дохода. Его долгая история, строгая система аудита и интеграция с крупными DeFi-платформами создавали иллюзию, что долгосрочная работа равна безопасности. Однако вчерашние и сегодняшние инциденты с безопасностью разрушили этот миф.

Ранее Balancer уже подвергался нескольким хакерским атакам.

1. В июне 2020 года Balancer подвергся атаке через уязвимость с дефляционным токеном, потеряв 520 000 долларов. Злоумышленник воспользовался неправильной обработкой дефляционных токенов в протоколе Balancer, взял флэш-кредит на 104 000 ETH на dYdX, затем 24 раза обменивал STA и ETH. Поскольку Balancer неправильно рассчитывал фактический баланс после каждой транзакции, STA в пуле был полностью истощен до 1 wei, а злоумышленник воспользовался серьезным дисбалансом цен, обменяв небольшое количество STA на большое количество ETH, WBTC, LINK и SNX.

2. В марте 2023 года Balancer пострадал от инцидента с Euler, потеряв 11,9 миллиона долларов. Euler Finance подвергся атаке флэш-кредитов на 197 миллионов долларов, пул bb-e-USD Balancer пострадал из-за хранения eToken Euler, около 11,9 миллиона долларов были выведены из пула bb-e-USD Balancer на Euler, что составило 65% TVL пула.

3. В августе 2023 года пул Balancer V2 подвергся атаке через уязвимость точности, потеряв 2,1 миллиона долларов. Злоумышленник точно манипулировал расчетом предложения BPT (Balancer Pool Token), что позволило ему вывести активы по несправедливому курсу. Атака была осуществлена через несколько флэш-кредитов.

4. В сентябре 2023 года Balancer подвергся атаке через захват DNS, потеряв 240 000 долларов. Хакер с помощью социальной инженерии взломал регистратора доменов EuroDNS, захватил домен balancer.fi, пользователи были перенаправлены на фишинговый сайт, который использовал вредоносный контракт Angel Drainer для получения разрешения на перевод средств, после чего украденные средства были отмыты через Tornado Cash.

5. В июне 2024 года Balancer пострадал от атаки на Velocore, потеряв 6,8 миллиона долларов. Злоумышленник воспользовался уязвимостью переполнения в контракте пула CPMM Balancer на Velocore, манипулировал множителем комиссии, увеличив его более чем на 100%, что привело к ошибке расчета, и с помощью флэш-кредита и специально сконструированной операции вывода похитил около 6,8 миллиона долларов.

5. Почему, несмотря на частые взломы, у Balancer по-прежнему много поклонников?

Несмотря на то, что с момента запуска Balancer в 2020 году регулярно происходят инциденты с безопасностью, у протокола по-прежнему много преданных пользователей.

Основная причина в том, что Balancer — это не только децентрализованная биржа, но и AMM-автоматический маркет-мейкер, поддерживающий мульти-ассетные пулы, программируемые веса, динамические комиссии, Boosted-комбинированные пулы и т.д. Многие DeFi-проекты и стратегии (например, Yearn, Aura, BeethovenX и др.) напрямую зависят от Balancer как базового слоя ликвидности. Поэтому даже при инцидентах с безопасностью инерция экосистемы верхнего уровня поддерживает пользовательскую базу.

Кроме того, как AMM-протокол, Balancer позволяет пользователям создавать и управлять кастомными пулами ликвидности, поддерживая различные комбинации активов и настройки весов. Это привлекает многих профессиональных поставщиков ликвидности и трейдеров, которые могут оптимизировать конфигурацию ликвидности под свои стратегии для получения большей прибыли. Алгоритм Balancer позволяет более эффективно использовать ликвидность, обеспечивая лучшие цены и меньший проскальзывание по сравнению с традиционными AMM, что особенно важно для крупных и частых сделок, снижая их издержки.

6. Можно ли еще доверять DeFi?

Директор по стратегии Flashbots и советник Lido Hasu отметил, что Balancer v2 был запущен в 2021 году и с тех пор стал одним из самых популярных и часто форкаемых смарт-контрактов. Это вызывает серьезное беспокойство. Каждый раз, когда такой давно работающий контракт подвергается атаке, это (ожидаемо) откатывает процесс внедрения DeFi на 6–12 месяцев назад.

Основатель и генеральный директор Circuit Harry Donnelly заявил: инцидент с утечкой данных Balancer — это «серьезное предупреждение» для DeFi-экосистемы, отметив, что Balancer — «один из самых уважаемых брендов в отрасли», а также «пионер с культурой комплаенса, строгими аудитами и публичными отчетами». Именно эта прозрачность помогла Balancer добиться успеха, но также сделала его более уязвимым для атак. «Если DeFi действительно хочет бросить вызов традиционным финансам, ему нужно опережать злоумышленников за счет проактивной устойчивости и реакции, а не просто латать дыры и замораживать средства».

Основатель и генеральный директор OneSource Владислав Гинзбург отметил: «Смарт-контракты и финансовая инженерия — часть инвестиционных рисков DeFi. Поэтому аудит смарт-контрактов крайне важен. Я считаю, что уязвимость Balancer не является новой парадигмой и не должна менять уровень доверия или риск-профиль. Статус-кво сохраняется».

Технический директор Komodo Kadan Stadelmann выразил схожую точку зрения, отметив, что основные пользователи DeFi не отступят, но институциональные инвесторы могут быть затронуты. «Именно такие хакерские атаки в DeFi заставляют институциональных и альтернативных инвесторов переходить к чисто биткоин-стратегиям».