概要:Balancerプロトコルが大規模なハッキング被害に
分散型金融(DeFi)プロトコルであるBalancerが、ハッカーによる攻撃を受け、1億2,800万ドルを超える仮想通貨が盗難されたと発表しました。この事件は、2025年11月3日に発生し、同プロトコルのv2プールが標的となりました。
事件の詳細と影響範囲
Balancerは、イーサリアムブロックチェーン上に構築された自動マーケットメーカー(AMM)および流動性インフラ層を提供するDeFiプロトコルです。今回の攻撃は、V2 Compostable Stable Poolsに限定され、V3プールには影響がないことが確認されています。事件はUTC午前7時48分に発生しました。
攻撃手法に関する見解
攻撃の手法については、複数の見解が示されています。
- GoPlus Securityによると、Vaultの交換計算における精度丸め誤差(precision rounding error)が悪用された可能性が高いとされています。各スワップ操作でトークン量が切り捨てられ、そのわずかな差異がバッチスワップ機能を通じて繰り返し悪用され、大規模な価格歪曲につながったと分析されています。
- 一方で、Aditya Bajaj氏などのユーザーは、BalancerのV2 Vaultsにおける不適切な認証およびコールバック処理が原因であると指摘しています。悪意のあるコントラクトがプール初期化中にVault呼び出しを操作し、保護機能を迂回して、相互接続されたプール間での不正なスワップや残高操作を可能にしたとされています。
Balancerは、事件の全容解明に向けて主要なセキュリティ研究者と協力しており、詳細な情報と事後分析を速やかに共有すると約束しています。なお、Balancer V2は2021年以降、11回の監査を受けていました。
ハッカーを欺く試みと詐欺の発生
事件発生後、ハッカーを欺こうとする試みも確認されました。Balancerを装った人物が、盗まれた資金の20%を「ホワイトハットバウンティ」として提供し、残りの資金を特定のウォレットアドレスに返還するよう求めるメッセージを送付しました。このフィッシングメッセージは、報酬、期限、そして脅迫を含む巧妙な内容で、ハッカーに即座の協力を促すものでした。
メッセージでは、ハッカーが取引活動と相関するアクセスログのメタデータから特定される可能性があり、ブロックチェーンフォレンジック専門家、法執行機関、規制パートナーと協力して身元を特定し、訴追すると脅迫していました。
広がるDeFiプロトコルの脅威
今回のBalancerへの攻撃は、2025年における最大級の仮想通貨強奪事件の一つです。攻撃者の特定には至っていませんが、DeFiエンティティにとって最大の脅威は北朝鮮のハッカーであるとされています。2025年10月3日時点で、北朝鮮に関連する仮想通貨盗難額は20億ドルを超えており、2月にはBybitから15億ドルが盗まれるなど、大規模な被害が報告されています。