Protokół Balancer doświadczył ataku, który doprowadził do utraty aktywów o wartości przekraczającej 120 milionów dolarów. Exploit, przeprowadzony 3 listopada 2025 roku, był wymierzony w pule Composable Stable Pools w architekturze V2 i objął wiele sieci, w tym Ethereum, Arbitrum i Base. Atakujący wykorzystali kombinację dwóch odrębnych luk: błędu zaokrąglenia w logice matematycznej oraz wady w mechanizmie kontroli dostępu do kontraktu Vault.
Kontekst Techniczny: Dwuetapowy wektor ataku
Analiza transakcji on-chain wskazuje na wysoce zaawansowaną metodę, która połączyła dwie podatności w celu drenażu środków. Oba błędy tkwiły w rdzeniu architektury V2.
Pierwszy element ataku to luka precyzji (precision loss). Haker wykorzystał funkcję _upscaleArray, która do skalowania wartości używa operacji mulDown (mnożenie z zaokrągleniem w dół). Atakujący, wykonując serię transakcji wymiany z ekstremalnie małymi kwotami (rzędu pojedynczych wei) w ramach jednej operacji batchSwap, był w stanie systematycznie akumulować błędy zaokrągleń. Ten skumulowany błąd prowadził do nieprawidłowego, zaniżonego obliczenia niezmiennika (invariant) puli. Zmanipulowana wartość niezmiennika bezpośrednio wpłynęła na błędną wycenę tokenów Balancer Pool Token (BPT), tworząc lukratywną możliwość arbitrażu.
Drugi wektor stanowił błąd w kontroli dostępu w funkcji manageUserBalance. Kluczowy proces validateUserBalanceOp nie weryfikował poprawnie tożsamości msg.sender, co pozwoliło na nieautoryzowane wywołanie operacji wypłaty środków (WITHDRAW_INTERNAL). W praktyce oznaczało to, że atakujący mógł ominąć standardowe mechanizmy autoryzacji i wyprowadzić zgromadzone w wyniku manipulacji aktywa bezpośrednio z kontraktu Vault.
Analiza: Szersze implikacje dla ekosystemu i bezpieczeństwa DeFi
Incydent ten nie jest pierwszym poważnym problemem bezpieczeństwa w historii Balancer. Protokół był już celem ataków wykorzystujących tokeny deflacyjne (czerwiec 2020), błędy zaokrągleń (sierpień 2023) czy ataki na infrastrukturę DNS (wrzesień 2023). Powtarzalność incydentów wskazuje na fundamentalne wyzwanie związane z architektoniczną złożonością protokołu. Jego elastyczność, będąca jedną z głównych zalet, jednocześnie znacząco poszerza powierzchnię ataku.
Kluczowe konsekwencje exploita:
- Efekt domina w ekosystemie: Luka w zabezpieczeniach dotknęła nie tylko pule Balancer, ale również protokoły zbudowane na jego kodzie. Sieć Berachain, której natywny DEX jest forkiem Balancer V2, podjęła decyzję o prewencyjnym wstrzymaniu działania łańcucha w celu przeprowadzenia awaryjnego hard forka i zabezpieczenia środków użytkowników o wartości około 12 milionów dolarów. Podobne działania podjęły inne, mniejsze forki, jak Beets Finance.
- Podważenie zaufania do audytów: Balancer był wielokrotnie audytowany przez czołowe firmy z branży bezpieczeństwa. Mimo to, subtelne błędy logiczne, wynikające z interakcji między różnymi funkcjami i ujawniające się jedynie w skrajnych przypadkach (edge cases), pozostały niewykryte. Incydent ten stanowi dobitny przykład ograniczeń statycznej analizy kodu w przypadku wysoce złożonych i kompozytowalnych systemów DeFi.
- Zarządzanie kryzysowe: Zespół Balancer podjął standardowe działania, pauzując te pule, które technicznie na to pozwalały. Jednak wiele starszych pul V2 działało już poza oknem czasowym umożliwiającym ich zamrożenie, co ograniczyło skuteczność natychmiastowej reakcji. Zaoferowano również 20% nagrody „white hat” za zwrot skradzionych aktywów.
Podsumowanie
Exploit na protokole Balancer jest jednym z najbardziej znaczących incydentów bezpieczeństwa w 2025 roku. Ujawnił on, że nawet dojrzałe i gruntownie przetestowane protokoły mogą zawierać krytyczne luki, których źródłem jest ich własna złożoność. Połączenie błędu precyzji matematycznej z wadą w logice kontroli dostępu okazało się niszczycielskim wektorem ataku. Incydent ten stanowi ważną lekcję dla całego ekosystemu, wymuszając głębszą refleksję nad kompromisem między innowacyjnością a bezpieczeństwem oraz nad potrzebą rozwoju nowych, bardziej dynamicznych metod weryfikacji i monitorowania smart kontraktów.