Balancer、190億円超のハッキング被害 ｜85%はイーサリアムで

DeFiプロトコルBalancerが、ハッキングにより1億2800万ドル超の被害。監査済みでも防げなかった脆弱性が浮き彫りになった。

分散型金融（DeFi）プロトコルBalancerは3日、大規模なハッキング被害を受け、1億2800万ドルを超える暗号資産（仮想通貨）が流出した。

同プロトコルは「問題はV3を含む他のBalancerプールには影響しない」とし、「我々のチームは一流のセキュリティ研究者と協力して問題の解明に取り組んでいる」と述べた。

流出した資産は、イーサリアムブロックチェーン上で約9,950万ドルと全体の約85%を占め、残りはArbitrumやBaseなど複数のネットワークに分散していた。

複合的な脆弱性が被害を拡大

今回の攻撃の対象となったのは、BalancerのV2コンポーザブル・ステーブルプールで、複数の脆弱性が重なって被害を拡大させたとみられる。

ブロックチェーンセキュリティ企業Phalconの初期分析によると、攻撃者はBalancerプールトークン（BPT）を標的にし、バッチスワップ中のプール価格計算方法を悪用した。

一部の仮想通貨アナリストは、BalancerのV2ボールト内に「不適切な認証とコールバック処理」の問題があったと指摘した。

これにより攻撃者は安全対策を回避し、不正なスワップや残高操作が可能になったという。

柔軟性が特徴であるコンポーザブル・ボールトのアーキテクチャが、結果として価格の歪みを連鎖させ、被害を増幅させる一因となった。

Balancer V2は2021年以降、11回の監査を受けていたが、この脆弱性は見過ごされていた。

DeFiへの信頼揺らぐ事件

この事件はDeFiエコシステム全体への信頼を大きく揺るがした。

仮想通貨プラットフォームRotkiのレフテリス・カラペトサス創設者は「信頼の崩壊だ」と述べ、「2020年から稼働し、監査を受け広く利用されてきたプロトコルが、預かり資産のほぼ全てを失う可能性がある。

これはDeFiが安定していると信じる者にとって危険信号だ」と警鐘を鳴らした。

また、コインベースのコナー・グローガン氏は、攻撃者のアドレスが最初にトルネード・キャッシュから100 ETHの資金提供を受けていたことを指摘。

「トランザクションのパターンは、経験豊富で過去にも活動していたハッカーの動きを反映している」との見方を示した。

事件直後には、ハッカーに対して盗んだ資金の80%を返還すれば20%をホワイトハット報奨金として提供すると持ちかけるフィッシング詐欺も発生した。

Balancerは「可能な限り早く完全な事後報告書を提出する」と約束しているが、プロトコルの長期運用や複数回の監査が必ずしも安全性を保証しないという厳しい現実を突きつける事件となった。