DeFiで再び大規模なハッキング！Balancerが1.16億ドル以上を盗まれ、被害は拡大中！

東八区11月3日3:48PM頃、オンチェーンデータ監視プラットフォームは突然、老舗のBalancerというDeFiプロトコルの金庫アドレスで異常な大口送金が発生したことを発見しました。

Etherscanによると、6,587枚のWETH（約2,450万ドル）、6,851枚のosETH（約2,690万ドル）、4,260枚のwstETH（約1,930万ドル）を含むマルチチェーン資産が外部ウォレットに移動されました。

複数のオンチェーンアナリストは、これは定例の流動性移行ではなく、潜在的な脆弱性の悪用または無許可の出金である可能性が高いと考えています。Nansenを含む複数のブロックチェーン分析プロバイダーも、これらの取引を疑わしいものとしてマークしています。

ブロックチェーンセキュリティ機関のPeckShieldによると、攻撃はEthereumなどのマルチチェーンネットワーク上で継続的に行われています。

東八区4:48PM頃までに、攻撃者アドレス（0x54B5…30d）は関数0x8a4f75d6を呼び出してさらに取引を完了し、Lookonchainは総損失が1.16億ドルを超えたことを確認しました。

Trading Strategyの共同創設者Mikko Ohtamaaは、初期分析として脆弱性の根本原因はスマートコントラクトの検証メカニズムの欠陥であると指摘しました。すべてのBalancerバージョンが影響を受けているわけではありませんが、旧バージョンのV2フォークに同様の脆弱性が存在する場合、総損失はさらに拡大する可能性があります。

DeFiセキュリティは依然として課題

これはBalancerが初めてセキュリティ問題に直面したわけではありません。

• 2020年、プロトコルは「送金手数料控除型」トークンの特殊な挙動を考慮しなかったため、攻撃者がフラッシュローンでプール資産を操作し、約50万ドルの損失を被りました。

• 2023年8月、Balancer V2のBoosted Poolで脆弱性が発見され、公式が警告を出したにもかかわらず攻撃が発生し、約100万ドルの資金が失われました。

• 同年9月、BalancerのフロントエンドドメインがDNSハイジャックされ、ユーザーがフィッシングサイトで取引に署名した結果、合計約24万ドルの損失が発生しました。

今回の最新の攻撃は、再びDeFiのセキュリティ問題を注目の的に押し上げました。コントラクト設計からフロントエンドのデプロイ、流動性プールのロジックからクロスチェーン資産管理まで、Balancerが直面するセキュリティ上の課題は未だに根本的に解決されていないようです。

さらに、Balancerはもともと流動性ハブ型プロトコルであり、問題が発生すれば自分だけでなく、巻き込まれたLPや依存するアグリゲーター、資産プール、戦略Vaultなどにも波及します。

DeFiの世界は「信頼不要」を重視しますが、度重なる脆弱性の悪用を前に、ユーザーが本当に信頼できるものは何でしょうか？5年の発展を経て、DeFiはもはやギークたちの小さな遊び場ではなく、数十億ドル規模の資金を管理する金融インフラとなっています。残念ながら、Balancerのようなトッププロトコルでさえ、古い問題が解決されないまま新たな被害に見舞われる運命から逃れられていません。

Balancer、2時間後に対応

東八区17:50、つまり事件発生から2時間後、Balancerは公式X（旧Twitter）を更新し、「Balancer v2プールに影響を及ぼす可能性のある脆弱性を発見しました。エンジニアリングおよびセキュリティチームが最優先で調査を進めており、さらなる情報が得られ次第、確認済みのアップデートと今後の対応を直ちに共有します」と発表しました。

Bitpushは引き続き本件の進展を追跡し、最新情報をいち早くお届けしますので、ぜひご注目ください。