Balancerハッキング2025：$128M 脆弱性とDeFiのシステムリスクの露呈

2025-11-05 09:19:59

Balancerのハッキング2025はDeFiエコシステムに衝撃を与え、V2の構成可能な安定プールを標的とした$128 百万ドルの損失をもたらし、流動性管理の脆弱性を浮き彫りにし、監査の限界やプロトコルの相互運用性に関する緊急の疑問を投げかけています。

Balancerハッキング：$128 百万ドルがV2プールから流出

2025年11月3日、Balancer V2は壊滅的な侵害を受け、イーサリアム$128 百万ドルを含む7つのチェーンで(百万ドルを失いました。これにはArbitrum$100 百万ドル、Base)$3.95百万ドル、Sonic($3.4百万ドル、Optimism$8 $1.57百万ドル、Polygon)$230,000などが含まれます。攻撃者はmanageUserBalance関数の脆弱なアクセス制御チェックを悪用し、Fee所有者になりすましてWETH、wstETH、osETHなどの資産を吸い出しました。これはBalancerの初めての事件ではなく、過去の損失も長期稼働コントラクトのリスクを示しており、総ロック額は現在12億ドルに半減し、フォークされたプロトコルは大規模な流出に直面しています。

損失のブレイクダウン：合計の90%、構成可能な安定プールから。
影響を受けた資産：WETH、wstETH、osETH、frxETH、rsETH、rETH。
チェーンの影響：7つのネットワーク、27のフォークが危険にさらされている。

攻撃の仕組み：脆弱なアクセス制御となりすまし

この脆弱性はBalancerのVaultコントラクトの検証の欠陥に依存しており、攻撃者は悪意のある命令を作成して所有権のチェックを回避しました。UserBalanceOpKind.WITHDRAW_INTERNALを使用し、システムをだまし、許可なしに出金させ、コールバックを操作してスワップを実行させました。PeckShieldなどのセキュリティ企業は、秘密鍵の漏洩はなく、純粋なスマートコントラクトの欠陥であり、相互接続されたプールを悪用して迅速に資産を流出させたと確認しています。この「バタフライ効果」はフォークされたプロトコルにも波及し、DeFiの構成可能性モデルにおけるシステムリスクを増大させました。

システムリスク：27のフォークとマルチチェーンの影響

Balancer V2の脆弱性は、EthereumやBerachainなどの27のフォークされたプロトコルに波及し、緊急対応としてチェーンの停止やポジションの出金を引き起こしました。Berachainはハードフォークのためにネットワークを一時停止し、ブリッジを無効化し、USDeの預入を停止しました。一方、Sonicはハッカーのウォレットを凍結しました。この事件はCertoraやOpenZeppelinによるレビューにもかかわらず、監査のギャップを露呈し、プライバシーとスケーラビリティの両立の難しさを示しています。これにより、分散化とユーザー保護の議論が活発になっています。総ロック額は(十億ドル超であり、このような脆弱性は10億ドル以上の担保コールを引き起こす可能性があり、DeFiの脆弱性を浮き彫りにしています。

業界の対応：停止、監査、論争

この侵害により即座に以下の対応が行われました。

チェーンの停止：Berachainの緊急フォークとSonicのウォレット凍結。
ポジションの出金：Lidoは影響を受けていない資産を引き出しました。
調査：PeckShieldとDecurityが脆弱性を調査中。

「分散化のコスト」に関する議論も激化しており、Hal Finneyの相続人やアナリストは停止は信頼を損なうと主張する一方、安全性を重視する意見もあります。ハッカーのアドレスは)1億2800万ドルと関連付けられ、Mixeroを通じてETH/USDCにスワップしながら資金洗浄を続けています。

歴史的背景：Balancerの脆弱性の遺産

Balancerは2017年のAMMの先駆者であり、2022年の(流出や2021年の)損失など、複数の脆弱性に直面してきました。これらの事件は監査を受けていたにもかかわらず発生しており、2021年のコントラクトに存在したV2の欠陥は、長期稼働コードのリスクを露呈し、専門家はDeFiの進展を6〜12ヶ月遅らせると指摘しています。VelodromeやSolidlyなどのフォークされたプロトコルも同様の脅威に直面しており、構成可能性の二面性を示しています。