Розслідування атаки на Balancer на суму 116 мільйонів доларів: виявлено вразливість у функції округлення, знову пролунали попередження про безпеку DeFi

Децентралізований протокол Balancer підтвердив, що нещодавня подія, яка призвела до крадіжки активів на суму понад 116 мільйонів доларів, має своє коріння у технічній помилці — логічній помилці через неправильне застосування правил заокруглення (Rounding) у внутрішній функції “upscale”. Ця атака торкнулася кількох мереж, зокрема Ethereum, Arbitrum, Base та Polygon, спричинивши значні втрати у таких активів, як WETH, osETH та wstETH.

Хоча протокол StakeWise, який був найбільше постраждалим, успішно повернув близько 19 мільйонів доларів у вигляді osETH, команда безпеки одразу ж призупинила роботу всіх уразливих пулів та почала відслідковувати підозрілі транзакції, що підкреслює необхідність швидкої реакції у міжланцюгових DeFi-екосистемах.

Глибокий аналіз технічної причини збитків Balancer

— крадіжка на 116 мільйонів доларів: від вразливості у логіці EVM до арбітражу між ланцюгами

Атака проти протоколу Balancer, що сталася 3 листопада 2025 року, є класичним прикладом наслідків помилок у точності смарт-контрактів. За попередніми даними, основна уразливість полягала у логіці заокруглення у функції “upscale”, яка використовується для обміну токенів (Token Swaps).

У децентралізованих фінансових протоколах точність математичних обчислень у пулах активів є критично важливою. Зловмисник використав особливості обробки дробових масштабувальних коефіцієнтів (Non-integer Scaling Factors), що призвело до систематичного маніпулювання балансами пулів. За допомогою ретельно спланованих транзакцій він зміг керувати балансами активів у кількох мережах, фактично “викачуючи” ліквідність. При цьому, зловмисник міг у таємниці переводити активи всередині протоколу до того, як великий обсяг коштів був виведений, що ускладнювало швидке виявлення злому.

Загальна сума вкрадених активів склала 116 мільйонів доларів, з яких найбільше постраждали: 6587 WETH, 6851 osETH та 4260 wstETH. Це свідчить про те, що атака була спрямована на складні стейкінгові токени з додатковими механізмами доходності, що підкреслює потенційні ризики при інтеграції таких активів з DEX-протоколами.

— спільні заходи протидії: як екосистема реагує на втрату коштів

Після інциденту, екосистема DeFi продемонструвала швидку та скоординовану реакцію:

• StakeWise швидко заблокував уразливі пули та повернув близько 19 мільйонів доларів у osETH, що становить приблизно 73.5% від загальної втрати.
• Balancer та його партнери з безпеки запустили багаторівневі механізми захисту:
  • Усі уразливі пули були тимчасово призупинені.
  • Створення нових пулів було заборонено, щоб запобігти подальшому використанню вразливості.
  • Всі ризикові пули отримали тимчасову заборону на виплату нагород, що зупинило мотивовані зловмисниками дії.
• Інші протоколи, наприклад Sonic Labs, провели екстрене блокування активів, а валідатори мережі Berachain тимчасово призупинили роботу мережі для запобігання переказам.

Такий колективний підхід до “примусової зупинки” системи демонструє зрілість у сфері безпеки DeFi та здатність швидко реагувати на системні ризики.

Шлях до відновлення та уроки для галузі

— відслідковування активів та публікація остаточного звіту: прозорість як ключ до довіри

Зараз команда Balancer тісно співпрацює з експертами з безпеки для проведення аудиту та підтвердження втрат активів. Після завершення перевірки всіх уразливих контрактів та транзакцій, буде опубліковано фінальний звіт із деталями про загальні втрати та стан повернення активів.

Для розробників та учасників DeFi ця подія є важливим нагадуванням:

1. Перевірка точності функцій: функції заокруглення та обробки масштабувальних коефіцієнтів у EVM мають бути формалізовано перевірені та підкріплені строгими валідаціями.
2. Ізоляція ризиків: хоча глибока інтеграція протоколів підвищує капітальну ефективність, вона також збільшує потенційний масштаб наслідків у разі вразливості.

До завершення процесу відшкодування та підтвердження активів, користувам рекомендується утримуватися від взаємодії з уразливими контрактами та слідкувати за офіційними каналами для отримання актуальної інформації, щоб уникнути фішингових атак або шахрайських схем.

Висновки

Ця масштабна крадіжка через “помилку заокруглення” ще раз підкреслює високий рівень точності, яким має володіти код у сфері DeFi. Хоча втрати у розмірі 116 мільйонів доларів є болючими, швидка реакція протоколів і здатність до заморожування та повернення активів демонструють зростаючу стійкість інфраструктури DeFi. У майбутньому, спільнота має зосередитися на посиленні аудиту та оновленнях коду, щоб забезпечити абсолютну надійність основних механізмів AMM, що є запорукою довгострокового збереження лідерських позицій на ринку.