DeFi-мир снова получил урок по безопасности. 3 ноября Balancer, один из самых старых DeFi-протоколов, подвергся масштабному взлому из-за ошибки в своем модуле Composable Stable Pools.
🔍 Что произошло:
Уязвимость в механизме отложенных расчетов позволила хакерам манипулировать балансами пулов. Из-за неточных коэффициентов масштабирования во время операций EXACT_OUT происходило округление “в меньшую сторону”, и ликвидность временно падала ниже минимального порога — этого хватало, чтобы вывести средства из пулов.
Сначала активы двигались через внутренние хранилища Balancer v2, после чего злоумышленники разбивали вывод на ряд транзакций, чтобы усложнить отслеживание.
🎯 Кто пострадал:
Удар пришелся на Composable Stable v5, где уже истек защитный период.
Пулы v6 устояли — благодаря системе Hypernative, которая автоматически приостановила работу после обнаружения аномалий.
Команда подтвердила: атака не затронула Balancer v3 и других типов пулов. Но копии протокола в BEX и Beets также пострадали.
⚙️ Как спасали ситуацию:
StakeWise DAO вернула $19 млн в osETH и $1,7 млн в osGNO (≈73,5% потерь);
Berachain приостановил сеть для хардфорка;
Sonic Labs заморозила кошельки злоумышленников;
Gnosis временно ограничила работу моста;
Monerium заблокировала 1,3 млн EURe;
BitFinding и MEV-боты Base вернули еще ≈$750 тыс.
🧩 В Balancer отмечают, что предварительно принятая структура Safe Harbor (BIP-726) помогла быстро координировать действия между командами и партнерами.
На данный момент точная сумма убытков неизвестна — окончательный отчет опубликуют после аудита. Но главный вывод очевиден:
даже самые умные смарт-контракты остаются уязвимыми, если в них есть одна незамеченная запятая.
📚 Хотите понимать, как DeFi работает изнутри — и как избежать таких ловушек?
Подписывайтесь, чтобы не пропустить разбор самых важных кейсов безопасности в мире Web3.
#balancer #defi #Hack #security #crypto