Balancer V2の脆弱性により被害額が1.16億ドルを超え、マルチチェーンプロトコルが被害

Bitget App

スマートな取引を実現

Bitget

ニュース

Bitpush2025/11/04 05:11

原文を表示

著者:Odaily 星球日报

原文タイトル：《老舗DeFiの陥落：Balancer V2コントラクトの脆弱性により、1.1億ドル超の資産が盗まれる》

原文著者：Wenser，Odaily

11月3日、老舗DeFiプロトコルであるBalancerが7,000万ドルを超える資産流出の被害を受けたことが明らかになりました。その後、この情報は複数の方面から確認され、被害額はさらに増加し続けています。執筆時点で、Balancerから盗まれた資産額は1.16億ドルを超えています。Odailyは本記事でこの事件について簡単に分析します。

Balancerの被害詳細：損失資金は1.16億ドル超、主因はv2プールのスマートコントラクトの脆弱性

オンチェーン情報によると、Balancerの攻撃者が現在盗んだ資金規模は1.16億ドルを突破しており、主な被害資産はWETH、wstETH、osETH、frxETH、rsETH、rETHで、ETH、Base、Sonicなど複数のチェーンに分散しています。その内訳は：

· Ethereumチェーン上の被害資産：約1億ドル；

· Arbitrumチェーン上の被害資産：約800万ドル；

· Baseチェーン上の被害資産：約395万ドル；

· Sonicチェーン上の被害資産：340万ドル超；

· Optimismチェーン上の被害資産：約157万ドル；

· Polygonチェーン上の被害資産：約23万ドル。

暗号KOLのAdiは、初期調査によると、この攻撃は主にBalancerのV2ボールトと流動性プールを標的とし、スマートコントラクトのインタラクションにおける脆弱性を利用したと述べています。オンチェーン調査員によれば、悪意のあるコントラクトが流動性プールの初期化時にVaultコールを操作。不適切な認可とコールバック処理により、攻撃者は保護メカニズムを回避し、相互接続された流動性プール間で無許可のSwapや残高操作が可能となり、数分で資産を盗み出すことができました。

現時点の情報によれば、秘密鍵の漏洩はなく、純粋なスマートコントラクトの脆弱性です。

監査機関kebabsecの監査人であり、citreaの開発者である@okkothejawaも、「（@moo9000が指摘したチェックミス）は根本原因ではない可能性がある。なぜなら、すべての『manageUserBalance』コールでops.sender == msg.senderだからだ。セキュリティホールは、資産引き出しコントラクト作成前のトランザクションに発生した可能性があり、それがBalancerボールト内の状態変化を引き起こした」と述べています。

Balancer公式も「公式チームはBalancer v2プールに影響を与える潜在的な脆弱性を認識しています。エンジニアリングおよびセキュリティチームが最優先で調査を進めており、さらなる情報が得られ次第、検証済みのアップデートと今後の対応を即座に共有します」とコメントしています。

また、潜在的な資産損失リスクのあるBerachainも即座に対応を発表。Berachain Foundationが声明を出した後、Berachain創設者のSmokey The Beraは、「Beraノードグループは、BEX（主にUSDe三池）に影響を及ぼすBalancerの脆弱性を防ぐため、パブリックチェーンの運用を自主的に停止した」と述べました。

· EthenaチームにBeraブリッジの無効化を依頼

· レンディングマーケットでUSDeの入金を無効化/一時停止

· HONEYトークンのミントおよび交換を一時停止

· CEX等と連携し、ハッカーアドレスをブラックリスト化

「我々の目標は、できるだけ早く資金を回収し、すべてのLPの安全を確保することです。Berachainチームは準備が整い次第、関連ノードバリデータやサービスプロバイダーにバイナリファイルをリリースします（このプールには非ネイティブ資産が含まれているため、スロット再構成などが必要で、単にBeraトークン残高を修正するだけではありません）。」