Louis, Trendverse 연구소
11 월 2025 년 초, DeFi 부문의 탈중앙화는 비상 사태에 의해 다시 흔들렸다。
오래된 거래, Balancer, 몇 시간 만에 심각한 보안 위반1.28년자산의 억 달러가 ETH, WstETH 및 OsETH와 같은 주류 동전에 대한 핵심 treasury (Vault)에 전송되었습니다。
전통적인 재발 공격과는 달리, 사건은 계약의 간단한 위반이 아니었지만, Balancer의 핵심 아키텍처에서 단일 시도정밀도 infiltration나는 모른다. 공격자는 프로토콜 액세스 제어의 논리 루프 홀을 활용, Vault 레이어에서 간격을 열고, 이는 시스템의 코너스톤으로 간주됩니다。
&ldquao로 기업에 의해 한 번 디자인; 능률, 우아하고, 모듈 &rdquao는, 궁극적으로 체계 ‘ 취약점의 단 하나 점을 반전합니다. 기술적인 관점에서, 그것은 "신뢰의 경계"의 붕괴이었다; 산업 관점에서, 그것은 DeFi 계약과 보안 지배의 복잡한 구조 사이에 긴 저항 긴장을 밝혀. 위기의 뿌리 원인을 이해하기 위해 우리는 출발 — — DeFi 아키텍처의 모델로 한 번 볼 수있는 Balancer 자체。
I. 믿을 수 있는 수의사
Balancer는 암호화 통화의 분야에서 가장 대표적인 자동차 시장 (AMM) 중 하나입니다。
2020년 출시 이래 Uniswap과 같은 전통적인 AMM의 새로운 패러다임이 제공되었으며 ldquo; 멀티 소시지 풀 + 자동화 및 rdquo; 혁신적인 메커니즘 : 사용자는 개별 풀에 여러 자산을 배포 할뿐만 아니라 더 유연한 유동성 관리를 달성하기 위해 자체 무게와 프로세스 수수료 구조를 정의 할 수 있습니다。
이 고도로 주문을 받아서 만들어진 디자인 덕분에, 한 번 DeFi의 생태에 있는 가장 성숙한 계약의 한개가 되었습니다, 달러의 수백의 총 차단과 더불어。
Balancer Office Web의 이미지
새로 업그레이드 된 Balancer V3 구조에서 프로토콜은 “ ” to “ 스마트 금융 ”에서 진화를 완료했습니다。
각 사용자 작업 (변환, 유동성 또는 현금 추가)은 명확한 명령 경로를 따릅니다. 지침은 라우터 및 노선에 의해 처음 수신되며, Vault (Trasury)로 자금을 단일 전송합니다. Vault 방아쇠 Hooks— — 거래 후 추가 체크 또는 계산을 수행 할 수있는 논리 모듈。
전체 시스템은 &ldquo를 기반으로합니다. 라우터 빌링, Vault 충전, 풀 실행, Hooks Extension & rdquo; 모듈 형, 프로그래밍 가능한 하단의 트랜잭션은 핵심 프로세스에 내장되어 있습니다。
Balancer Office Web의 이미지
그 기반에서 Balancer가 출시되었습니다부스트 풀 (enhanced Pool)메커니즘은 더 자금을 사용하는 효율을 강화했습니다。
사용자가 변환할 때(예: DAI & Rarrar; USDC), Vault는 외부 계약(예: Aave)에서 해당 봉쇄 토큰(예: waDAI, waUSDC)을 자동으로 취득하여 사용자의 오리지널 토큰을 직접 처리할 수 있으며, 유동성과 수익을 창출할 수 있습니다. 풀이 언젠가 될 때, Vault redeems 자체; idle 자금을 사용할 수있을 때, 관심은 자동으로 외부 합의에 입금됩니다. “ 사용 가능한 유동성 ” 및 “ 최적화 된 반환 &rdquo. 하지만V2 처럼, 그것은 또한 체계적인 위험을 EMBEDS 하는 중앙 집중화 논리입니다나는 모른다. 모든 금융 흐름에 대한 허브로서, Vault, 루프홀이있을 때, 단지 하나의 풀에 영향을 미치지 만 전체 계약과 상호 체인 생태에 영향을 미칠 수 있습니다. 이 기초에, Boosted Pool은 Vault 's 책임은 내부 자금에 계정뿐만 아니라 외부 계약과 상호 작용하는뿐만 아니라 공격의 위험이 단일 계약에서 최대 계약으로 연장된다는 것을 의미한다. 구조가 크게 개선 된 모듈식 고립 및 액세스 제어에도 불구하고 공격의 대상은 새로운 버전 자체가 아니었지 만 체인에서 활성되는 V2의 예입니다. (클로홀은 여러 보안 기관 (Peck Shield 및 SlowMist 포함)이 거래 체인에서 확인되었으며, 공식 발표는 V2 계약에 문제가 발생했습니다
뒤에 오는 부분에, 우리는 공격의 과정을 다시보고 &mdash를 탐험합니다; — 그리고, V3가 선에 있는 경우에, 왜 V2는 뒤지지 않습니까? 이 결정에 반영된 위험 관리 논리는 DeFi 계약과 자산 보안의 진화와 오랜 금전을 나타냅니다。
II. Vault: 보안 및 ldquo; 환상 ” 비용
2020년에 온라인으로 갔다재무정보위험한 보안 사건 — — — 2023년에 V2 수영장의 정확도에 통화 반복의 가장 이른 방위에서 2024년에 Velocore 포크 공격에. 각 루프홀은 다른 형태로 시스템을 노출하지만, 팀은 신속하게 업그레이드, 매개 변수 수리 및 커뮤니티 통신을 통해 항상 사용자 신뢰를 다시 만들 수 있습니다。
그러나 2025의 공격은 과거와 다릅니다. 이번에는 전통적인 프론트 엔드 또는 외부 통화보다는 계약의 핵심 논리 수준에서 보안 디자인에서 문제가 발생했습니다。
출처: Twitter, Lokonchain (이 숫자는 아래의 배포 비율, 총 손실 수치를 읽는 것은 쉽습니다)
11 월 3 일부터 여러 보안 기관 및 미디어는 공격에 의한 총 손상을 약하게 추정$128 백만미국 달러에서 여러 체인의 자산을 포함하는 (Etheleum, Base, Berachain 등)。
기존의 Re-attacks 또는 front-end fishing과는 달리 코드의 복잡한 끝을 무시하면 V2Vault 내부 권한의 논리에 대한 결함이 있습니다. 시스템 아키텍처를 파괴하는 대신, 공격자는 성공적으로 합법적 인 인터페이스 &ldquo를 통해 내부 사용에 대한 인출 기능을 트리거; disguise ” 및 계약의 내부 계정에 대한. 결과적으로 시스템의 잘못은 그 정체성을 주장하고, 공인 현금 인출과 같은 높은 유동성 자산을 전송하는 데 많은 양의 자금을 치료, 타아린과 모바일 서약 통화와 같은, 한 번과。
다른 말, “볼트공격자는 자신의 남자, &rdquao로 잘못되었습니다. 이것은 간단한 코드 오류가 아니라 더 많은 미묘한 디자인 불균형 — — 계약이 더 큰 상호 운용성 및 모듈화를 시도 할 때 보안 고립은 종종 희생되었습니다. 감사의 여러 라운드를 통해, 이 유형의 “ 신뢰 가정의 논리 층 ” 반복은 여전히 볼 수 있습니다. 그것은 주요 현실을 밝혀 : DeFi 보안 위험은 건축 및 액세스 경계의 설계에 단일 지점 코드에서 체계적인 문제로 오랫동안 검사되었습니다。
왜 공격자가 대상이되는지사이트맵이름 *
그 이유는사이트맵예볼트그들은 체인에서 활동하고 합의 된 자금과 생태 자산의 큰 금액을 호스트。
일부 DAO 풀, 소득 폴리머 및 초기 유동성 계약은 V2 계약에 부착되어 기술, 지배 및 합의 수준에서 높은 비용으로 전체 스케일 마이그레이션을 폭발합니다。
공격자가 V2 내부 균형 관리 기능에서 액세스 제어 간격을 공격하는이 현실입니다. V3는 라우터 및 Hooks stratification, 장식 권한 및 운영 경로를 도입하여 논리를 재구성하여 유사한 위험을 피합니다. 더 깊은 pitfalls는 지배 결정에 거짓말. Balancer 팀은 V3의 롤 아웃 후 즉시 은퇴하지 않았다, 병렬에서 두 세대 구조를 선택, 호환성 및 생태 협력 고려에 대한 일부。
이 “ 늙은 & old co-existence & rdquo; 전환 전략은 상업적으로 소리이지만 보안 회색 영역을 만듭니다
새로운 시스템의 개방 인터페이스와 함께 제공되는 오래된 버전의 디자인 갭은 한 번 사용되며, 계약 및 자산의 시스템 이벤트로 신속하게 확산 할 수 있습니다。
루프홀을 넘어 체인 반응
이 공격의 실제 영향은 금융 차원보다 멀리 간다. 이 이벤트는 생태, 시장 및 심리적 차원에서 체인 반응을 유발하여 DeFi 시스템의 fragile 연결과 신뢰 간격을 폭발시킵니다。
1. 명세 환경 수준: 오픈 소스의 재사용 위험
Balancer의 오픈 소스 코드는 널리 재사용 및 포크 리프트, 수많은 AMM 프로젝트 및 체인 구성 요소에 대한 기초 모듈 역할을합니다. 이것은 단일 계약의 루프홀이 더 이상 자신에게 자신감을 가지지 않는다는 것을 의미하지만, 빨리 전체 생태 층을 확산 할 수 있습니다。
V2의 경우 Vault 또는 풀은 사용, 포크 프로젝트 및 동일한 논리를 사용하여 통합 방정식은 비상 상황에서 처분 할 수 있습니다. 예를 들어, Berachain은 네트워크 운영을 중단했으며 공격 경로의 스릴러를 피하기 위해 잠재적 위험 때문에 비상 수리를 수행했습니다。
이 “ 코드 레벨 ” 확장 DeFi ' 시스템 생태에 단일 프로토콜에서 신뢰 경계:
단일 루프홀은 애플리케이션의 보안뿐만 아니라 체인 전반에 걸쳐 금융 네트워크를 분해합니다。
시장 수준 : 자금 및 가격에 즉각적인 피드백
자료 근원: 인기 카테고리
시장은 위험에 매우 반응합니다。
DeFiLlama에 따르면, 3 11 월 2025, Balancer '의 총 창고 볼륨 (TVL)은 약 $ 775 백만에서 $ 392 백만, 24 시간에 거의 50 퍼센트로 급격히 감소했다。
대응, 균형 코드를 기반으로 여러 포크 프로토콜도 동일한 기간에 30 %의 TVL 레귤레이터를 나타납니다. 영향을받는 체인의 일부 배포가 중단되거나 오프라인으로 더 많은 위험 전송을 방지합니다。
이 데이터는 de-centre 생태계에서, 금융 마이그레이션 및 가격 조정은 거의 동시에 발생, 그리고 신뢰의 손실은 자본 흐름의 그것과 동일하다。
3. 명세 심리적 수준: 취약점과 신뢰는 감사의 종료
“ 보안 감사 ” 그리고이 전통적인 신뢰 메커니즘에 다시 영향을 미치는 사건。
최고 감사 기관에 의해 검토의 여러 라운드 후, 계약은 여전히 논리 경계 또는 역사 기술 부채의 blurring에 의해 손상 될 수있다。
감사 결과는 장기 구조적 보안에 대한 대용품이 입증되지 않았습니다. LP ( 이동할 수 있는 공급자) 및 일반적으로 사용자를 위해, 사건은 단기 가격 손실에서, 그러나 더 높은 신뢰 비용에서 유래했습니다。
그들은 reassess “ 안전 ” 이 intangible 자산의 가치는 divestment 또는 decentralization, thereby 확대 시장 변동성에 더 많은 것입니다。
IV. DEFI의 위치와 미래 : TRUST 및 PRACTICE의 역할
재무정보한 번 다시 암호화 산업을 반복적으로 제기되었는 질문에 노출했지만 inescapable 남아있다 :
—사이트맵정말 “ 센터로 이동 ” 이미
공격은 격리 된 기술 루프홀이 아니라 전체 분산 된 금융 시스템의 구조적 금전 :
이상과 현실 사이의 긴장。
DeFi는 원래는 “ 센터를 제거, 재건축 신뢰 ” 그러나 환경적 볼륨의 확장과 시스템의 복잡성을 증가, 그것의 보안 의존도는 regroup — 감사 기관에서, 선구자 네트워크, 계약 템플릿, 크로스 체인 브리지와 신뢰 층, 각 “ 탈중앙화 & rdquo; 구성 요소는 논리 작업의 새로운 중심으로 진화。
Balancer의 Vault 해커 사건은이 추세의 microcosm입니다。
그것은 효율성과 통합 — — — &mdash에 대한 업계의 지속적인 탐구를 나타냅니다. 자금을 관리하고 활용하고 마찰 비용을 줄일 수 있습니다. 그러나, 효율성이 보안을 초과하는 경우, 고립에 대한 prevails, “ decentrization ” 및 경계는 침묵에 흐릅니다。
So-called 오픈 금융은 더 구조적으로 복잡하고 의존하는 시스템으로 진화합니다。
장기적인 관점에서, 사건은 DeFi를 뒤로 가지고 갔습니다, 그러나 기업을 위한 다음 watershed가 될 수 있었습니다。
DeFi의 미래는 더 이상 “ 자동차 시장 ” 또는 “ 소득 집계 ” 그리고 &ldquo로 진화 할 것이다; 검증 가능한 금융 시스템 &rdquo
계약 논리는 지속적으로 모니터링 및 검증, AI angent 주식 위험은 체인 보안 레이어와 방어, 그리고 지배 및 펀드 전송의 모든 변경은 실제로 확인 될 수 있습니다。
다른 말에서, DeFi의 다음 단계는 “ 센터로 이동 ” 하지만 더 투명, 추적 및 검증。
신뢰는 핵심에 남아, 그 표현이 변화하는 것을 제외하고: “ 코드 &rdquo의 기본 신념; “ 코드 검증 &rdquo。
아마도 Balancer의 손실은 비용이 많이 드는 과정입니다。
그것은 &mdash의 모든 빌더 및 투자자를 상기; —
중앙화는 끝이 아닙니다나는 모른다지속적인 과정입니다나는 모른다。
각 업그레이드, 모든 이동, 모든 감사는 신뢰의 실험이 충분히 지속된다는 것을 확인합니다。
투자 및 거버넌스 관점에서, 그것은 또한 위험 가격이 더 이상 시장 행동이 아니라 코드 논리와 합의 메커니즘 사이의 협력적인 결과를 의미한다。