Μια μικρή σφαλματική στρογγυλοποίηση που κρυβόταν βαθιά μέσα στους έξυπνους συμβολαίου του Balancer οδήγησε σε μία από τις μεγαλύτερες επιθέσεις στον τομέα της αποκεντρωμένης χρηματοδότησης (DeFi) το 2025, αποσπώντας περισσότερα από 128 εκατομμύρια δολάρια από τις Composable Stable Pools (CSPs) σε πολλές Blockchain. Η επίθεση ξεκίνησε στις 3 Νοεμβρίου στις 07:46 UTC και ανιχνεύτηκε αρχικά από το αυτοματοποιημένο σύστημα παρακολούθησης της Hypernative.

Ο πρωτόκολλος Balancer υπέστη απώλειες άνω των 116 εκατομμυρίων δολαρίων από την διασυνοριακή επίθεση, σημειώνοντας μία από τις μεγαλύτερες παραβιάσεις ασφάλειας στον τομέα του DeFi το 2025. #Balancer #DeFi

Λίγα λεπτά αργότερα, το Balancer επιβεβαίωσε ότι υπήρχε ενεργή επίθεση που στοχεύει τις V2 Composable Stable Pools σε δίκτυα όπως το Ethereum, Base, Arbitrum, Avalanche, Optimism, Gnosis, Polygon, Berachain και Sonic. Σημαντικό είναι ότι άλλοι τύποι πισίνας του Balancer και το πρωτόκολλο V3 δεν επηρεάστηκαν.

Σύμφωνα με την προκαταρκτική αναφορά του Balancer, η παραβίαση προκλήθηκε από μια μικρή αλλά κρίσιμη σφαλματική στρογγυλοποίηση στη λειτουργία "upscale" που χρησιμοποιείται κατά τη διάρκεια των ομαδικών ανταλλαγών, μια δυνατότητα που επιτρέπει πολλές ανταλλαγές Tokens σε μία μόνο συναλλαγή. #Balancer

Το σφάλμα εμφανίστηκε στον κώδικα που χειρίζεται τις ανταλλαγές "EXACT_OUT", όπου οι μη ακέραιοι παράγοντες κλιμάκωσης προκάλεσαν στρογγυλοποίηση προς τη λάθος κατεύθυνση, επιτρέποντας στους επιτιθέμενους να χειραγωγήσουν τα υπόλοιπα των πισινών και να αποσπάσουν κεφάλαια γρήγορα. Το Balancer δήλωσε ότι η επίθεση περιορίστηκε στις V2 Composable Stable Pools και τα forks τους, όπως τα BEX και Beets.

Πρώτες εκτιμήσεις δείχνουν ότι οι επηρεαζόμενοι συμβάσεις ήταν κυρίως αυτές με ληγμένα παράθυρα παύσης, ενώ οι νεότερες πισίνες CSPv6 σταμάτησαν αυτόματα από τους ελέγχους έκτακτης ανάγκης της Hypernative μέσα σε λίγα λεπτά από την ανίχνευση. Η εταιρεία ασφάλειας blockchain PeckShield εκτίμησε τις συνολικές απώλειες πάνω από 128 εκατομμύρια δολάρια, αν και το Balancer δήλωσε ότι οι ακριβείς αριθμοί εξακολουθούν να επιβεβαιώνονται.

Τα κλεμμένα περιουσιακά στοιχεία, συμπεριλαμβανομένων των $ETH, osETH και wstETH, μεταφέρθηκαν γρήγορα και μερικώς ξεπλύθηκαν μέσω του Tornado Cash. Το Balancer ενεργοποίησε το έκτακτο σχέδιο δράσης του, συντονίζοντας συνεργασίες με εταίρους, λευκά καπέλα και ομάδες ασφαλείας για να περιορίσει την επίθεση. Το πλαίσιο Safe Harbor (BIP-726), που εισήχθη το 2024, επέτρεψε στους λευκούς καπέλους να παρέμβουν νομικά και να ανακτήσουν κεφάλαια.

Στις τελευταίες ενημερώσεις, το Balancer σημείωσε ότι απενεργοποίησε το εργοστάσιο CSPv6 για να αποτρέψει τη δημιουργία νέων πισινών, σταμάτησε τους μετρητές ρευστότητας για τις επηρεαζόμενες πισίνες και ενεργοποίησε τις αναλήψεις σε κατάσταση ανάκτησης για τους παρόχους ρευστότητας. Οι χρήστες με περιουσιακά στοιχεία σε παγωμένες πισίνες μπορούν τώρα να αποσύρουν τα υποκείμενα tokens τους αναλογικά.

Η παραβίαση αυτή έρχεται παρά τη μακροχρόνια φήμη του Balancer για ισχυρή ασφάλεια. Ο πρωτόκολλος, ένας από τους παλαιότερους αυτοματοποιημένους δημιουργούς αγορών στο DeFi, έχει υποβληθεί σε περισσότερες από δέκα ελέγχους από κορυφαίες εταιρείες, όπως οι OpenZeppelin, Trail of Bits και Certora. Ωστόσο, αυτή η τελευταία επίθεση αντικατοπτρίζει μια προηγούμενη ευπάθεια που σχετίζεται με στρογγυλοποίηση που ανακαλύφθηκε το 2023, τον ίδιο τύπο σφάλματος που οι επιτιθέμενοι χρησιμοποίησαν τώρα σε πολύ μεγαλύτερη κλίμακα.

Μετά την παραβίαση, η συνολική αξία κλειδώματος (TVL) του Balancer έπεσε απότομα από 442 εκατομμύρια δολάρια στις 2 Νοεμβρίου σε λίγο πάνω από 214 εκατομμύρια δολάρια μέσα σε 24 ώρες, και τώρα έχει πέσει στα 182 εκατομμύρια δολάρια, σύμφωνα με το DeFiLlama. Η επίδραση αυτή προκάλεσε σοκ σε όλο το οικοσύστημα DeFi, με μια μεγάλη τσέπη να αποσύρει 6,5 εκατομμύρια δολάρια αμέσως μετά την επίθεση.

Για περισσότερες πληροφορίες, μπορείτε να επισκεφθείτε τις παρακάτω πηγές: