ルイ・トレンバース・ラボ
2025年11月上旬に、デファイ部門の分権化が再び緊急事態に揺れていました。
古い取引、バランサー、わずか数時間で深刻なセキュリティ侵害に遭遇しました1.28のETH、WstETH、OsETHなどの主流コインの点で、資産の億ドルがコア財務(Vault)から送金されました。
従来の再燃攻撃とは異なり、事件は単なる契約違反ではなく、Balberrのコアアーキテクチャでの単一の試みでした精密ろ過お問い合わせ 攻撃者は、プロトコルアクセス制御の論理ループホールを利用し、Vault層のギャップを開いて、システムの角質と考えられています。
設計は、産業が&ldquaoとして記述しました;、有効で、優雅な、モジュラー&rdquao、最終的にシステム「脆弱性の単一のポイントを逆転させます。 技術的な観点から、「信頼の境界」の崩壊でした。業界観から、DeFi協定とセキュリティガバナンスの複雑な構造間の長期にわたる緊張を明らかにしました。 危機の根本的な原因を理解するためには、出発点の——Balberr自体がDeFiアーキテクチャのモデルとして見られた。
I. 信頼できるベテラン
Balancerは、暗号化された通貨の分野で最も代表的なオートマーケター(AMM)の1つです。
2020年の発売以来、Uniswap、with&ldquo、マルチアセットプール+オートマタイゼーション&rdquoなどの伝統的なAMMの新しいパラダイムを提供しました。革新的なメカニズム:ユーザーは個々のプールに複数のアセットをデプロイするだけでなく、独自の重量とプロセス手数料構造を定義して、より柔軟な流動性管理を実現します。
この高度にカスタマイズされた設計のおかげで、BalvarrはDFiの生態学の最も成熟した合意の1つになりました。
Balancer Office Webによるイメージ
新しくアップグレードされたバランサーV3構造では、プロトコルはさらに、&ldquo、&rdquo、&ldquo、スマートファイナンス&rdquoの進化を完了しました。
各ユーザー操作(変換、流動性またはキャッシュを追加するかどうか)は、明確なコマンドパスに従います。指示は、最初にルータとルーティングによって受信され、資金の単一の転送のためにVault(財務省)に転送されます。 Vault は、Hooks&mdash、&mdash をトリガーし、トランザクション前後の追加チェックや計算を実行します。
システム全体は、&ldquo に基づいています。 ルータ課金、Vault 充電、プールの実行、Hooks Extension & rdquo; モジュラー、プログラム可能な取引の底は、コアプロセスのために構築されます。
Balancer Office Webによるイメージ
それに伴い、Balberrが起動しましたプール(強化プール)メカニズムは、資金の使用の効率性をさらに高めました。
ユーザーが(例:Dai&Rarrar;USDC)を変換すると、Vaultは、外部の合意(例、Aave)で対応する密閉トークン(例えばwaDAI、waUSDC)を自動的に取得し、ユーザーの元のトークンを直接処理し、流動性と収益の二重使用を達成するために。 プールが返金されると、Vault はそれ自体を償還します。アイドル資金が利用可能になると、外部の合意に自動的に利益が入金されます。 これは、&ldquoとの間の動的バランスのために許可されている; 利用可能な流動性” “ 最適化されたリターン&rdquo。 しかし、V2と同様に、体系的なリスクを埋め込むこの一元化された資金動化ロジックですお問い合わせ すべての財務の流れのためのハブとして、Vaultは、ループホールがあるとき、それは単一のプールに影響を与えるだけでなく、それは全体の合意とインターチェーンのエコロジーに影響を与える可能性があります。 このベースでは、Boosted Poolは、内部資金を考慮するだけでなく、外部の合意と相互作用するだけでなく、攻撃のリスクの影響が単一の合意から最大の合意に拡張されていることを意味するVault ' sの責任をさらに拡張しました。 構造がモジュール式の分離とアクセスの制御が大幅に向上しているという事実にもかかわらず、攻撃のターゲットは新しいバージョン自体ではなく、チェーンでアクティブに残っているV2の例でした。 (Peck ShieldとSlowMistを含む複数のセキュリティ機関(Peck ShieldとSlowMistを含む)が取引のチェーンで確認され、公式発表ではV2契約で問題が生じたことを確認しました
次の部分では、攻撃の経過を見直し、 — — と、V3 がライン上にある場合は、V2 は戻らないのですか? この決定に反映されたリスク管理ロジックは、DeFi協定と資産セキュリティの進化の長期にわたる矛盾を示しています。
2。 Vault:セキュリティ“錯覚”コスト
2020年はネットで行ってきましたので、バランサー数多くのセキュリティインシデント — — 通貨のループホールの最も早い防衛から2023年にV2プールの精度までVelocoreフォーク攻撃に2024. 各ループホールは、異なる形態でシステムを公開していますが、チームは常に迅速なアップグレード、パラメータの修復、コミュニティコミュニケーションを通じてユーザーの自信を取り戻すことができます。
しかし、2025年の攻撃は過去とは異なる:この時期、従来のフロントエンドや外部の呼び出しではなく、合意のコア論理レベルでセキュリティ設計から生じた問題。
出典:Twitter、Lokonchain(この図は、分布の比率、下総損失の図を読むのは簡単です)
11月3日と同様に、複数のセキュリティ機関とメディアは、攻撃によるトータルダメージを推定しました$128 百万円米国ドルでは、複数のチェーン(Etheleum、Base、Berachainなど)の資産を関与しています。
従来の再攻撃やフロントエンドの釣りとは異なり、コードの複雑な端を捨てることは、V2Vaultの内部権限の論理の欠陥に根ざしています。 システムアーキテクチャを破壊する代わりに、攻撃者は、正当なインターフェース“ 偽装” 合意の内部アカウントに限定された出金機能を正常にトリガーしました。 その結果、システムは、そのアイデンティティを誤認し、承認された現金の出金として大量の資金を処理し、tamarindやモバイルプレッジ通貨などの高流動資産を転送します。
言い換えれば、“ボルト攻撃者は、自分の男、&rdquaoとして誤って計算されました。これは単純なコードエラーではありませんでしたが、より微妙なデザイン不均衡——そして合意がより大きな相互運用性とモジュール化を求めたとき、セキュリティ分離はしばしば犠牲になりました。 監査の複数のラウンドを通しても、このタイプの“信頼の論理層の仮定”ループホールはまだ見落とされるかもしれません。 DeFiセキュリティリスクは、アーキテクチャとアクセス境界の設計における単一ポイントコードから系統的な問題まで、長い間検討されていることが明らかです。
攻撃者だけがターゲットをしている理由V2のお問い合わせ
理由は、V2のはいボルトそれらはチェーンで活動的であり、大量の未処理の資金および生態学的資産をホストします。
一部のDAOプール、所得ポリマー、および初期の流動性契約は、V2契約に引き続き適用され、技術的、ガバナンス、さらにはコンセンサスレベルで高コストへのフルスケールの移行が行われています。
V2内部バランス管理機能のアクセス制御ギャップを攻撃するために攻撃者によって使用されるこの現実です。 対照的に、V3は、ルータおよびホックの stratification を導入し、パーミッションを装飾し、操作パスを操作することにより、ロジックを再設計しました。 より深い落とし穴は、ガバナンスの意思決定に嘘をつく。 バランサーチームは、V3のロールアウト直後、並行して2世代構造を選ぶと、互換性と環境的協力の考慮事項の一部として退職しませんでした。
この “ 古い & 古い共存 & rdquo; 移行戦略は商業的に聞こえますが、セキュリティグレーエリアを作成します
古いバージョンのデザインギャップは、新しいシステムのオープンインターフェイスと一致し、使用したら、現地のリスクは合意と資産を横断して体系的なイベントに急速に拡大することを可能にします。
ループホールを超えたチェーン反応
この攻撃の実質的な影響は、金融規模を超えて行く. イベントは、生態学的、市場および心理的な次元でチェーン反応を引き起こし、DeFiシステムの脆弱な接続と信頼のギャップを露出しました。
1。 環境レベル: オープンソースの再利用の社会的責任
Balancerのオープンソースコードは広く再利用され、フォークリフト化され、数多くのAMMプロジェクトやチェーンコンポーネントのファンデーションモジュールとして機能します。 つまり、単一の合意のループホールは、もはやそれ自体に解釈されていないが、すぐに全体の生態層に広がる可能性があることを意味します。
V2の場合 Vault またはプールは、同じロジックを使用してフォークプロジェクトと統合式を使用して、緊急時に処分される強制的です。 たとえば、Berachainはネットワークの動作を中断し、攻撃経路の揺れを避けるために潜在的なリスクによる緊急修理を行いました。
この “ コードレベルでの” 拡張 DeFi の s の自信境界 単一プロトコルからシステムエコロジーへ:
単一のループホールは、アプリケーションのセキュリティを損なうだけでなく、チェーン全体で金融ネットワークを破壊します。
市場レベル:資金と価格に関する即時フィードバック
データソース: デフィルマ
市場はリスクに非常に敏感です。
DeFiLlamaによると、2025年11月3日現在、Balberr 's 総倉庫の容積(TVL)は約770万ドルから$ 92百万に急激に低下し、24時間で約50パーセント。
Balancerコードに基づく複数のフォークプロトコルは、同じ期間に30%以上のTVLリトリートが現れます。 影響を受けたチェーンの一部の展開は、さらなるリスク伝達を防止するために中断またはオフラインになっています。
これらのデータは、非centreエコシステム、金融移行、価格調整がほぼ同時に行われることを示しています。そして、信託の損失率は資本の流れと等しいことです。
3。 心理的レベル: 脆弱性と信頼再優先の監査の支持
事件は、再び、 &ldquo で市場の自信に影響を与えた; セキュリティ監査 ” そして、この伝統的な信頼メカニズム。
トップ監査機関によるレビューの複数のラウンド後であっても、合意はまだ論理的境界または歴史的技術的な債務の請求によって妥協されることがあります。
監査結果は、長期的構造的セキュリティの代替であることが証明されていません。 LP(移動可能なプロバイダー)および一般のユーザーの場合、イベントは短期価格の損失ではなく、より高い信頼コストで発生しました。
彼らは、 &ldquo を評価し始めた; 安全 ” この無形資産の価値は、分割や分散化に有利であり、それによって市場のボラティリティを拡大します。
IV。 証拠の提示と未来:取引のトランスファーと実務の改革
バランサーイベントは、再び暗号化業界を繰り返し上げられた質問に暴露しましたが、それは容認できません
——デファイ本当に “ 中心に行く ” 既に
攻撃は、独立した技術的なループホールではなく、分散型金融システム全体の構造的矛盾を明らかにしました
理想と現実の間の緊張。
DeFi はもともと &ldquo であることが意図されました。 センターを削除し、信頼の &rdquo を再構築します。しかし、生態ボリュームの拡大とシステムの複雑性を高めるとともに、そのセキュリティの依存も &mdash をグループ化し始めています。監査機関、予言、契約テンプレートのネットワークから、各 &ldquo のクロスチェーンブリッジとレイヤーをクロスチェーンします。まともなライゼーションと rdquo; コンポーネントは、ロジックの新たな動作に進化しました。
BalancerのVaultハッカー事件は、この傾向のmicrocosmです。
それは、効率と統合の&mdashのための業界のs継続探求を表しています。 — 資金管理を一元化し、利用率を高め、摩擦コストを削減します。 しかし、セキュリティ上の効率性が優先されるとき、組成物が分離、&ldquo、decentrization&rdquoを上回るとき。そして境界線は沈黙でぼやけています。
いわゆるオープンファイナンスは、より構造的に複雑で独立したシステムに進化しています。
長期的視点では、イベントがDeFiを取り戻すことはありませんでしたが、業界に次なる水面になることができました。
DeFiの未来は、&ldquo、オートマーケット&rdquo、または&ldquo、所得集計&rdquoに限らず、&ldquoに進化します。 検証可能な金融システム&rdquo
契約ロジックは、継続的に監視・検証され、AI エージェントは、チェーンセキュリティ層のリスク防衛を共有し、ガバナンスおよびファンド転送のあらゆる変更は、遡及的ではなくリアルタイムで検証することができます。
言い換えれば、DeFiの次のフェーズは&ldquoではありません。 センター&rdquoに行く。 しかし、より透明で、追跡可能で検証可能です。
trust は、その式が変更されていることを除いて、コアに残っています。コード &rdquo のデフォルトの信念。 &ldquo へ。 コードを検証済み &rdquo に保つ。
おそらくバランサーの損失は、高価な強制的なコースです。
これは、&mdashのすべてのビルダーと投資家を思い出させます。 —
集中化は終了ではありませんお問い合わせ進行中のプロセスですお問い合わせ。
それぞれのアップグレードは、全ての監査が、信頼性に関する実験が十分に持続可能なかどうかを検証しています。
投資とガバナンスの観点から、リスク・プライシングは単なる市場行動ではなく、コード・ロジックとコンセンサス・メカニズムとの間の協調的な成果であることを意味します。