Расследование атаки на Balancer на сумму 116 миллионов долларов: выявлена уязвимость в функции округления, очередной тревожный звонок для безопасности DeFi

Децентрализованный протокол Balancer подтвердил, что недавняя атака, в результате которой было украдено более 116 миллионов долларов США, коренится в технической ошибке — логике округления (Rounding) внутри функции “upscale” в самом протоколе. Эта атака затронула несколько сетей, включая Ethereum, Arbitrum, Base и Polygon, и привела к значительным потерям активов, таких как WETH, osETH и wstETH.

Несмотря на то, что протокол StakeWise, пострадавший от атаки, успешно вернул около 19 миллионов долларов в виде osETH, команда безопасности немедленно приостановила работу пострадавших пулов и начала отслеживание подозрительных транзакций, что подчеркивает необходимость быстрого реагирования на угрозы в межцепочечных DeFi-экосистемах.

Глубокий анализ технической причины потерь Balancer

— украдено 116 миллионов долларов: от уязвимости в логике EVM до арбитража между цепочками

Атака на протокол Balancer, произошедшая 3 ноября 2025 года, является классическим примером последствий ошибок точности в смарт-контрактах. Согласно предварительному отчету команды проекта, уязвимость заключалась в функции “upscale”, которая используется при обмене токенов (Token Swaps), и связана с логикой округления.

В DeFi-пулах точные математические вычисления имеют критическое значение. Злоумышленники использовали особенности обработки нецелых масштабирующих факторов (Non-integer Scaling Factors), аккуратно формируя транзакции, чтобы систематически манипулировать балансами пулов и выводить ликвидность с нескольких сетей. Скрытность атаки заключалась в том, что злоумышленники могли тайно перемещать активы внутри хранилищ протокола (Vaults) до того, как крупные выводы становились заметными.

Общая сумма украденных активов достигла 116,6 миллиона долларов, среди которых особенно пострадали 6587 WETH, 6851 osETH и 4260 wstETH. Это указывает на то, что злоумышленники нацеливались на сложные стейблкоины с расширенными функциями доходности (LST), что подчеркивает потенциальные риски при интеграции протоколов LST с децентрализованными биржами (DEX).

— коллективные меры защиты: как экосистема реагирует на утечку средств

После инцидента в DeFi-экосистеме продемонстрировали высокую скорость реагирования.

Протокол StakeWise, наиболее пострадавший, быстро предпринял меры и вернул около 19 миллионов долларов в виде osETH, что составляет примерно 73,5% от общей суммы потерь, демонстрируя эффективность внутреннего контроля и сотрудничества с безопасностными партнерами.

Balancer и его партнеры по безопасности запустили многоуровневые механизмы защиты:

• Все пострадавшие пулы были приостановлены (Paused).
• Создание новых пулов было запрещено, чтобы предотвратить дальнейшее использование уязвимости.
• Для всех подозрительных пулов были отключены награды, чтобы заморозить мотивацию для злоумышленников.

Кроме того, такие протоколы, как Sonic Labs, провели экстренные заморозки, а валидаторы сети Berachain временно приостановили работу сети, чтобы остановить перевод средств злоумышленниками. Эти меры межцепочечного и межсетевого взаимодействия свидетельствуют о зрелости безопасности DeFi и коллективной реакции на системные риски.

Планы по восстановлению и уроки для индустрии

— отслеживание активов и финальный отчет: прозрачность — ключ к восстановлению доверия

В настоящее время команда Balancer совместно с экспертами по безопасности проводит аудит и сверяет утраченные активы. После завершения проверки всех пострадавших контрактов и транзакций будет опубликован окончательный отчет, в котором будет подтверждена сумма потерь и статус возврата активов.

Для разработчиков и создателей DeFi эта ситуация стала тревожным сигналом:

1. Проверка точности функций: функции округления и обработки множителей должны проходить более строгую формализацию и аудит, чтобы исключить ошибки, связанные с математическими операциями, влияющими на активы.
2. Изоляция рисков: глубокая интеграция протоколов повышает эффективность капитала, но также увеличивает риски распространения уязвимостей по нескольким цепочкам.

Пока не завершена работа по возврату активов, пользователям рекомендуется избегать взаимодействия с пострадавшими контрактами и следить за официальными каналами информации, чтобы не стать жертвой фишинга или мошенничества.

Итоги

Этот случай с ошибкой округления и крупными потерями в Balancer служит напоминанием о высокой важности точности кода в DeFi. Несмотря на то, что убытки превысили 116 миллионов долларов, быстрое реагирование, заморозка и возврат активов показывают, что инфраструктура DeFi становится более устойчивой к кризисам. В будущем сообществу важно сосредоточиться на усилении аудита и обновлении кода, чтобы обеспечить абсолютную надежность основной логики AMM, что станет фундаментом для сохранения лидерства на рынке.