11回の監査でもBalancerの1億2800万ドルのハッキングを防げず、DeFiリスクを再定義

長年にわたり、Balancerは分散型金融の最も信頼できる機関の一つとして、いくつかの弱気相場、監査、そしてスキャンダルなしに統合を生き延びてきたプロトコルでした。

しかし、その信頼性は11月3日に崩壊しました。ブロックチェーンセキュリティ企業のPeckShieldが、Balancerとそのいくつかのフォークが複数のチェーンにわたって広がるアクティブな攻撃を受けていると報告したのです。

数時間のうちに、1億2800万ドル以上が消失し、枯渇したプール、凍結されたプロトコル、そして動揺した投資家の痕跡を残しました。

PeckShieldのデータによると、イーサリアムブロックチェーン上のプラットフォームのプロトコルが約1億ドルという最も大きな損失を被りました。Berachainが1290万ドルで続き、Arbitrum、Base、そしてSonic、Optimism、Polygonなどの小さなフォークはより少ないものの、依然として重大な盗難を記録しました。

流出が進む中、Balancerは「Balancer v2プールに影響を与える潜在的な攻撃」を認め、エンジニアリングとセキュリティチームが高い優先度で問題を調査していると述べました。

しかし、この認識は統合者やフォーク全体での出金を遅らせるにはほとんど役立ちませんでした。

その日の終わりまでに、DeFiLlamaのデータによると、Balancerの預かり資産（TVL）は報道時点の7億7000万ドルから約4億2200万ドルへと46％減少していました。

何が起きたのか？

ブロックチェーンセキュリティ企業Phalconによる予備的な調査によると、攻撃者は流動性プールにおけるユーザーシェアを表すBalancer Pool Tokens（BPT）を標的にしていました。

同社によると、脆弱性はBalancerがバッチスワップ中にプール価格を計算する方法に起因していました。その論理を操作することで、攻撃者は内部価格フィードを歪め、システムが自己修正する前にトークンを引き出すことを可能にする人工的な不均衡を作り出しました。

暗号資産アナリストのAdiは次のように書きました：

一方、その柔軟性で長く称賛されてきたBalancerの構成可能なボールトアーキテクチャが、被害を増幅させました。ボールトが動的に相互参照できるため、歪みが相互接続されたプール全体に波及しました。

興味深いことに、CoinbaseのConor Groganは、攻撃者のアプローチがプロフェッショナルな洗練さを示唆していると指摘しました。

Groganは、攻撃者のアドレスが最初にTornado Cashから100 ETHで資金提供されていたことを指摘し、その資金が以前の攻撃から発生した可能性を示唆しました。

「通常、人々は楽しみのために100 ETHをTornado Cashに駐車させることはありません」と彼は書き、そのトランザクションパターンが経験豊富で以前にも活動していたハッカーを反映していることを示唆しました。

分散型金融の信頼崩壊

攻撃自体は技術的なものでしたが、その影響は心理的なものでした。

Balancerは長い間、流動性の提供者にとって保守的な場所、資産を預けて控えめで安定した利回りを得る場所と見なされていました。その長寿、監査、そして主要な分散型金融プラットフォーム全体での統合は、耐久性が安全性に等しいという幻想を育みました。11月3日の侵害は、その物語を一夜にして破壊しました。

暗号資産プラットフォームRotkiの創設者であるLefteris Karapetsasは、これを「信頼の崩壊」と呼び、分散型金融プラットフォームのハックだけではないと述べました。

彼は次の事実を非難しました：

その反応は、より広い感情を捉えていました。自己管理と検証可能なコードを重視する市場では、信頼が静かに分散型金融の隠れた基盤として信頼に取って代わっていました。

Balancerの失敗は、数学的に健全なシステムでさえ、予見できない複雑さに対して脆弱であることを示しました。

Cork Protocolの匿名開発者であるRobdogは次のように述べました：

分散型金融への影響

Balancerの攻撃は、分散型金融にとって微妙な時点で発生し、短い平穏な期間を打ち砕きました。PeckShieldによると、10月にはハックによる総損失は年間最低の1800万ドルにまで減少していました。

しかし、11月の単一の事件で、その数字はすでに1億2000万ドルを超え、2025年の分散型金融侵害において3番目に悪い月となっています。

一方、この攻撃は分散型金融の中心にある根本的なパラドックスを浮き彫りにしています：プロトコルが相互に接続し、互いに構築することを可能にする機能である構成可能性は、システミックリスクも増幅します。

Balancerのようなコアプロトコルが破綻すると、その影響はそれに依存するネットワーク全体に即座に波及します。

Berachainでは、バリデーターが感染を防ぐためにブロック生成を一時停止しました。他のプロトコルも貸出やブリッジング機能の一時停止で続きました。

これらの迅速な反応は損失を制限しましたが、分散型金融が伝統的な金融を安定させる調整メカニズムなしで運営されているという広範な真実も浮き彫りにしました。

このスペースには、規制当局、中央銀行、または義務付けられたバックストップはありません。代わりに、危機管理は開発者と監査人が連携して、しばしば数分以内に、影響を封じ込めるために重く依存しています。

これを考慮して、Robdogは次のように述べました：

即時の技術的損失を超えて、信頼への損害はより修復が難しいかもしれません。

各主要な攻撃は、自己規制コードという分散型金融の約束に対する信頼を侵食します。業界へのエクスポージャーを検討している機関投資家にとって、繰り返される失敗は分散型市場が依然として実験的であることを示しています。

Karapetsasは次のように述べました：

その認識はすでに世界中の主要経済における政策を形作っています。

著名なweb3開発者であるSuhail Kakarは、Balancer攻撃の余波で冷静な現実を強調しました：複数の高プロファイルなセキュリティ監査でさえ、分散型金融での安全性を保証することはできません。

彼が指摘したように、Balancerは10以上の監査を受け、そのコアボールト契約はいくつかの独立した企業によってレビューされました。それにもかかわらず、プロトコルは大きな侵害を受けました。

Kakarの指摘は、業界で成長している感情を強調しています。「Xによって監査された」はもはや絶対性の印ではなく、むしろ十分にテストされたコードでさえ見えない脆弱性を隠す可能性がある分散型システムの固有の複雑さと予測不可能性を反映しています。

米国の当局は、分散型金融プロトコルに規制を導入するフレームワークを開発しています。業界オブザーバーは、政策立案者が暗号資産と伝統的な金融業界の間の継続的な統合のリスク増大に取り組む中、Balancer攻撃がこれらの取り組みを加速させると予想しています。

この記事「11の監査でもBalancerの1億2800万ドルのハックを止められなかった方法が分散型金融のリスクを再定義する」はCryptoSlateで最初に公開されました。