Як 11 аудитів не змогли зупинити злам Balancer на $128 мільйонів, що переосмислює ризики DeFi

Протягом багатьох років Balancer залишався однією з найнадійніших інституцій DeFi, протоколом, який пережив кілька ведмежих ринків, аудити та інтеграції без жодного скандалу.

Однак ця довіра зруйнувалася 3 листопада, коли компанія з безпеки блокчейну PeckShield повідомила, що Balancer і кілька його форків зазнають активної атаки, яка поширюється на кілька ланцюгів.

Протягом кількох годин було втрачено понад $128 мільйонів, залишивши після себе спустошені пули, заморожені протоколи та шокованих інвесторів.

Дані PeckShield показали, що протокол платформи на Ethereum зазнав найбільших втрат — близько $100 мільйонів. Далі йде Berachain із $12,9 мільйона, тоді як Arbitrum, Base та менші форки, такі як Sonic, Optimism і Polygon, зазнали менших, але все ще значних крадіжок.

Total Funds Stolen from Balancer Hack (Source: Peckshield)

Під час виведення коштів Balancer визнав “потенційну експлуатацію, що впливає на пули Balancer v2”, заявивши, що його інженерні та безпекові команди розслідують проблему з найвищим пріоритетом.

Однак це визнання мало вплинуло на уповільнення виведення коштів інтеграторами та форками.

До кінця дня дані DeFiLlama показали, що загальна заблокована вартість (TVL) Balancer зменшилася на 46% — приблизно до $422 мільйонів із $770 мільйонів на момент публікації.

Balancer DeFi Hack (Source: DeFiLlama)

Що сталося?

Попередній аналіз від компанії з безпеки блокчейну Phalcon вказав, що зловмисник націлився на Balancer Pool Tokens (BPT), які представляють частки користувачів у пулах ліквідності.

За даними компанії, вразливість виникла через те, як Balancer розраховував ціни пулу під час пакетних свопів. Маніпулюючи цією логікою, зловмисник спотворив внутрішній ціновий фід, створивши штучний дисбаланс, що дозволило йому вивести токени до того, як система виправила себе.

How Attacker Exploited Balancer Code (Source: Phalcon)

Криптоаналітик Adi написав:

“Неправильна авторизація та обробка зворотних викликів дозволили зловмиснику обійти захисні механізми. Це дало змогу несанкціонованим свопам або маніпуляціям балансами у взаємопов’язаних пулах, що призвело до швидкого виведення активів (протягом кількох хвилин).”

Тим часом, компонуєма архітектура сховищ Balancer, яку довго хвалили за гнучкість, посилила шкоду. Оскільки сховища могли динамічно посилатися одне на одного, спотворення поширилося через взаємопов’язані пули.

Цікаво, що Conor Grogan з Coinbase зазначив, що підхід зловмисника свідчив про професійну майстерність.

Grogan відзначив, що адреса зловмисника спочатку була профінансована 100 ETH із Tornado Cash, що натякає на те, що кошти, ймовірно, походили з попередніх експлойтів.

“Зазвичай люди не тримають 100 ETH у Tornado Cash просто так,” — написав він, натякаючи, що така модель транзакцій характерна для досвідченого та раніше активного хакера.

Крах довіри до DeFi

Хоча сам експлойт був технічним, його вплив був психологічним.

Balancer давно вважався консервативним майданчиком для провайдерів ліквідності, місцем для зберігання активів і отримання помірного, стабільного доходу. Його довговічність, аудити та інтеграції з провідними DeFi-платформами створили ілюзію, що витривалість дорівнює безпеці. Прорив 3 листопада зруйнував цю ілюзію за одну ніч.

Lefteris Karapetsas, засновник криптоплатформи Rotki, назвав це “крахом довіри”, а не просто зламом DeFi-платформи.

Він засудив той факт, що:

“Протокол, який працює з 2020 року, пройшов аудит і широко використовується, все одно може зазнати майже повної втрати TVL. Це тривожний сигнал для всіх, хто вважає DeFi ‘стабільним’.”

Ця реакція відображає ширші настрої. На ринку, де цінуються самостійне зберігання та перевірюваний код, впевненість тихо замінила довіру як прихований фундамент DeFi.

Провал Balancer показав, що навіть математично обґрунтовані системи вразливі до непередбачуваної складності.

Robdog, псевдонімний розробник Cork Protocol, сказав:

“Хоча [DeFi] основи стають все безпечнішими, сумна реальність полягає в тому, що ризик смарт-контрактів всюди навколо нас.”

Наслідки для DeFi

Експлойт Balancer стався у делікатний момент для децентралізованих фінансів, зруйнувавши короткий період спокою. У жовтні загальні втрати від зламів впали до річного мінімуму — лише $18 мільйонів, за даними PeckShield.

Однак лише один інцидент у листопаді вже підняв цю цифру понад $120 мільйонів, що робить його третім найгіршим місяцем для зламів DeFi у 2025 році.

Monthly DeFi Hacks Losses in 2025 (Source: DeFiLlama)

Тим часом ця атака підкреслює фундаментальний парадокс у самому серці DeFi: компонуємість, функція, яка дозволяє протоколам з’єднуватися та будуватися один на одному, також посилює системний ризик.

Коли ламається основний протокол, такий як Balancer, вплив миттєво поширюється через мережі, які від нього залежать.

На Berachain валідатори призупинили виробництво блоків, щоб запобігти поширенню. Інші протоколи також тимчасово призупинили функції кредитування та бриджування.

Ці швидкі реакції обмежили втрати, але також підкреслили ширшу істину: DeFi працює без координаційних механізмів, які стабілізують традиційні фінанси.

У цій сфері немає регуляторів, центральних банків чи обов’язкових механізмів підтримки. Натомість управління кризою значною мірою покладається на розробників та аудиторів, які працюють разом, часто протягом кількох хвилин, щоб стримати наслідки.

З огляду на це, Robdog сказав:

[Це] гарне нагадування, чому нам потрібно розвивати кращу інфраструктуру управління ризиками.”

Поза межами негайних технічних втрат, шкоду довірі може бути складніше відновити.

Кожен великий експлойт підриває впевненість у обіцянці DeFi щодо саморегульованого коду. Для інституційних інвесторів, які розглядають можливість входу в галузь, повторювані невдачі сигналізують, що децентралізовані ринки залишаються експериментальними.

Karapetsas зазначив:

“Жоден серйозний капітал не виділяється в системи, які настільки крихкі.”

Це сприйняття вже формує політику у провідних економіках світу.

Suhail Kakar, відомий розробник web3, підкреслив сувору реальність після експлойту Balancer: навіть численні, високопрофільні аудити безпеки не можуть гарантувати безпеку в DeFi.

Як він зазначив, Balancer пройшов понад десять аудитів, а його основний контракт сховища перевіряли кілька незалежних компаній; проте протокол все одно зазнав серйозного прориву.

Теза Kakar підкреслює зростаючий настрій у галузі, що “аудитовано X” більше не є ознакою безпомилковості; натомість це відображає притаманну складність і непередбачуваність децентралізованих систем, де навіть добре протестований код може містити невидимі вразливості.

Balancer V2 Audits (Source: Balancer docs via Suhail Kakar)

Влада Сполучених Штатів розробляє рамки, які запровадять регулювання для DeFi-протоколів. Спостерігачі галузі очікують, що експлойт Balancer прискорить ці зусилля, оскільки політики намагаються впоратися з зростаючим ризиком подальшої інтеграції криптовалют із традиційною фінансовою індустрією.