ハッカーは2025年11月3日、Balancerの分散型金融プロトコルの脆弱性を悪用し、推定1億2,000万ドルから1億2,800万ドルの暗号通貨を盗みました。Balancerは事件を確認し、さらなる損失を軽減するために影響を受けたプールを一時停止しました。セキュリティ企業は攻撃を侵害されたアクセス制御メカニズムに追跡しました。
この悪用は、2020年以来活動しているDeFiプロトコルBalancerを標的にし、3億5,000万ドル以上のイーサリアム価値を保有しています。2025年11月3日月曜日、事件は早朝に始まり、ハッカーは主にETHで資金を盗み、総損失の少なくとも9,900万ドルに達し、PeckShieldやCyversを含むほとんどのブロックチェーンセキュリティ企業により1億2,000万ドル超と推定されています。一つの報告書では1億2,800万ドルが盗まれたと指定されています。
BalancerはXで声明を発表しました:「Balancer v2プールに影響を与える可能性のある悪用を認識しています。私たちのエンジニアリングおよびセキュリティチームは最優先で調査中です。追加の情報が入り次第、検証された更新と次のステップを共有します。」同社は、不具合のあるアクセス制御メカニズムが攻撃者に残高を直接操作することを可能にしたと説明しました。CyversのCEO、Deddy Lavid氏は、「進行中の流出は、おそらくプロトコル内のアクセス制御メカニズムの侵害によるもので、攻撃者が残高を直接操作できるようにしたものです。」と述べました。
対応として、Balancerは一時停止可能なプールを停止し、リカバリーモードに置きましたが、他のプラットフォームとのつながりがすべての影響を受けた資産の一方的な停止を妨げました。このプロトコルは約10回の監査を受け、バグバウンティを維持しており、ユーザー安全を約束し、セキュリティおよび法務チームと協力して徹底的な調査と事後分析を行っています。
いくつかの関連組織が迅速に行動しました:Berachain Foundationはネットワークを停止し、一部の盗まれた資金を凍結しました。Gnosis、Sonic、Beefyなどのプラットフォームは同様の保護措置を実施しました。Balancerは、偽アカウントからの詐欺メッセージに注意するようユーザーに警告しました。
この事件は、先週のGarden Financeからの1,080万ドルの盗難に続き、暗号犯罪が増加した年に寄与しています。Chainalysisによると、2025年上半期に20億ドル以上が盗まれ、今年これまでに21億7,000万ドルで、2024年の総額を上回っています。盗難の多くは北朝鮮の活動家に関連しており、2025年1月から9月までに少なくとも16億5,000万ドルを盗み、弾道ミサイルプログラムを資金提供しています。