Balancer V2、大規模なDeFiハッキングで1億2800万ドルを失う

2025年11月3日、最も古く信頼されている分散型金融（DeFi）プラットフォームの一つであるBalancerが、ユーザーから1億2800万ドル以上を流出させる大規模なハッキング被害に遭いました。

ハッキングは月曜日の朝7:48（UTC）に始まりました。攻撃者は約6,587 WETH（約2450万ドル相当）、6,851 osETH（2690万ドル相当）、4,260 wstETH（1930万ドル相当）を含む他のトークンを盗み出すことに成功しました。盗まれた資金はすぐにハッカーが管理する新しく作成されたウォレットに移動されました。

攻撃の仕組み

セキュリティ研究者は、ハッカーがBalancer V2のスマートコントラクトコードの重大な欠陥を悪用したことを発見しました。この脆弱性は「manageUserBalance」と呼ばれる関数に存在し、本来はシステム内で誰が資金を移動できるかを制御するものでした。ブロックチェーンセキュリティの専門家によると、攻撃者は2つの異なる送信者IDを混同する欠陥のあるアクセスチェックを利用し、不正な出金を可能にしました。

攻撃手法は非常に高度でした。ハッカーは悪意のあるスマートコントラクトをデプロイし、偽のトークンを作成してBalancerの流動性プールにある実際のトークンの価格を操作しました。彼らはシステムの計算における微小な丸め誤差を悪用し、1つのトランザクションで複数のスワップを使用して、これらの小さな不一致を大規模な価格歪みに増幅させました。これにより、彼らは非常に有利なレートでプールから流動性を流出させることができました。

出典: @Balancer

この攻撃が特に懸念されるのは、関与した計画のレベルです。ブロックチェーンデータによると、攻撃者は数ヶ月間慎重に準備し、Tornado Cashを通じて0.1 ETHの小額の入金を使用して足跡を隠しながら自分のアカウントに資金を提供していました。この計画的なアプローチは、高度なスキルと経験を持つハッカーの仕業であり、過去の暗号資産の不正利用との関連性がある可能性を示唆しています。

複数のブロックチェーンが大きな打撃

被害は一つのネットワークだけに限定されませんでした。Balancerは複数のブロックチェーンにまたがって運営されているため、ハッキングは急速に広がりました。イーサリアムは9900万ドルと最悪の損失を被りました。他のネットワークも大きな打撃を受けました：Berachainは1286万ドル、Arbitrumは686万ドル、Baseは390万ドル、Sonicは344万ドル、Optimismは158万ドル、Polygonは23万2000ドルを失いました。

波及効果はBalancer自体を超えて広がりました。Balancerのコードをコピーした（「フォーク」と呼ばれる）いくつかのプロジェクトも同じ攻撃に対して脆弱になりました。Beets Financeは約300万ドルの影響を受けた資金を報告し、Beefy Financeは安全対策としてBalancer V2に接続されているすべての製品を一時停止しました。

物議を醸す動きとして、Berachainのバリデーターは、推定1200万ドルのユーザー資金を保護するために、ブロックチェーンネットワークを完全に停止し、緊急ハードフォークを実行しました。この決定は暗号資産コミュニティで議論を引き起こしました。多くの人々は、ブロックチェーントランザクションの停止と巻き戻しが分散化の核心原則に反すると考えているからです。

監査の問題

このハッキングの最も厄介な側面は、おそらくBalancer V2がOpenZeppelin、Trail of Bits、Certora、ABDKなどの一流セキュリティ企業によって10回以上も監査されていたことでしょう。これらの監査は2021年から2023年の間に行われましたが、脆弱性はそれでも見逃されていました。

この失敗はDeFi空間におけるセキュリティ監査の有効性について深刻な疑問を投げかけました。ブロックチェーン研究者のSuhail Kakarはソーシャルメディアで次のように述べています：「Balancerは10回以上の監査を受けました。ボールトは3つの異なる企業によって別々に監査されましたが、それでも1億1000万ドルのハッキングを受けました。この業界は『Xによって監査された』ということがほとんど何も意味しないことを受け入れる必要があります。」

セキュリティ専門家は現在、静的コード監査はもはや十分ではないと主張しています。代わりに、DeFiプラットフォームは資金が流出する前に不審なアクティビティを検出できる継続的なリアルタイムモニタリングシステムが必要です。

市場への影響と回復の取り組み

市場はこのニュースに素早く反応しました。BalancerのネイティブBALトークンは11.1%下落して0.87ドルとなり、プロトコルの預かり資産（TVL）は24時間以内に7億7600万ドルから4億600万ドルに急落しました。この大規模な資金流出は、セキュリティが損なわれた場合にユーザーがいかに迅速に信頼を失うかを示しています。

Balancerチームは攻撃者に取引を提案して対応しました：盗まれた資金をすべて返還し、「ホワイトハット報奨金」として20%（約2560万ドル相当）を保持するというものです。チームはハッカーに48時間の受諾期限を与え、資金が返還されない場合は法執行機関とブロックチェーンフォレンジック専門家と協力すると警告しました。

回復の取り組みにはいくつかの成功がありました。影響を受けたプロトコルの一つであるStakeWiseは、攻撃者から約1900万ドル相当のosETHトークンと170万ドル相当のosGNOトークンを回収することに成功しました。これは盗まれたosETHの約73.5%に相当します。回収された資金は攻撃前の残高に基づいて影響を受けたユーザーに返還される予定です。

より大きな視点

このハッキングは2025年の懸念すべきパターンに適合しています。今年前半だけで20億ドル以上の暗号資産がハッカーによって盗まれ、現在の総損失額は22億ドルを超えています。これらの資金の大部分は、武器プログラムの主要な収入源として暗号資産の窃盗を利用している北朝鮮政府と関連があるとされるハッカーに追跡されています。

Balancerハッキングの確認された帰属はありませんが、高度な計画と実行は、大規模な強盗の前に広範な準備で知られる悪名高いLazarusグループ（北朝鮮の国家支援ハッキング組織）によって実行された攻撃との類似点があります。

Balancerは、V2 Composable Stable Poolsのみが影響を受け、Balancer V3および他のプールタイプは安全であることを確認しました。チームはセキュリティ研究者と協力して詳細な事後分析レポートを作成しており、Balancerの公式コミュニケーションを偽装する偽のメッセージが出回っていることについてユーザーに警告しています。

信頼が崩壊するとき

Balancerの不正利用は、DeFI業界全体への警鐘となっています。最も確立され監査されたプロトコルの一つであるにもかかわらず、それでも壊滅的な攻撃の犠牲になりました。この事件は、広範なセキュリティ対策でも保護が保証されないこと、そして暗号資産空間は増加する高度なハッカーに先んじるために現在の慣行を超えて進化しなければならないことを証明しています。今の疑問は、業界がこの失敗から学び、次の大規模な侵害を防ぐために必要なリアルタイムモニタリングと階層化されたセキュリティシステムを実装するかどうかです。