Неизвестные взломали децентрализованный протокол Balancer. По последним данным, хакеры вывели по меньшей мере $128 млн.
Update: @Balancer and its forks are under attack, with total losses across multiple chains reaching ~$128.64M so far. https://t.co/67XGX5RcRR pic.twitter.com/FIwx20ALSz— PeckShieldAlert (@PeckShieldAlert) November 3, 2025
Специалисты Nansen одними из первых зафиксировали подозрительные переводы токенов WETH, osETH и wstETH на новый кошелек.
.@Balancer potentially exploited.$70.9M moved to a fresh wallet. Tokens moved:- 6.85K $OSETH- 6.59K $WETH- 4.26K $wSTETH pic.twitter.com/kk1hnjmcIW— Nansen 🧭 (@nansen_ai) November 3, 2025
Атака продолжалась несколько часов.
Соучредитель и гендиректор Trading Strategy Микко Охтамаа предположил, что причиной стала ошибка в проверке смарт-контракта. Однако он добавил, что одновременно наблюдаются транзакции, которые изменяют внутренний учет балансов.
An OG Ethereum DEX Balancer got rekt for ~$70M.GM.Root cause (kudos to Defimon Signals) was a faulty check.Still not clear what Balancer versions are affected, but not all of them. https://t.co/eVfRugvZlO pic.twitter.com/Ao6CkU0BFk— Mikko Ohtamaa (@moo9000) November 3, 2025
«Независимые эксперты по безопасности пока не смогли точно определить, каким именно образом происходили эти манипуляции», — отметил специалист.
По данным Cyvers, хакер приступил к отмыванию средств через Tornado Cash. Аналитики Lookonchain позднее отметили, что злоумышленник начал обменивать похищенные средства на Ethereum.
На фоне атаки цена нативного токена проекта — BAL — снизилась более чем на 11%. На момент написания он торгуется по $0,8.
Часовой график BAL/USDT биржи OKX. Источник: TradingView.
Инфлюенсер под псевдонимом Adi пояснил, что хакеры воспользовались уязвимостью в пулах Balancer V2. Они создали вредоносный контракт, который обманул систему при создании новых пулов ликвидности.
Here's everything you need to know about the Balancer Hack:1. The attack targeted Balancer's V2 vaults and liquidity pools, exploiting a vulnerability in smart contract interactions. Preliminary analysis from on-chain investigators points to a maliciously deployed contract that… pic.twitter.com/udAM4hB0OD— Adi (@AdiFlips) November 3, 2025
«Ошибка в проверке прав доступа позволила обойти защиту. Это дало возможность несанкционированно перемещать средства между связанными пулами и выводить их за считанные минуты», — отметил он.
По словам эксперта, атака началась с транзакции в сети Ethereum. Проблема усугубилась из-за сложной архитектуры Balancer, где пулы активно взаимодействуют друг с другом.
Команда проекта прокомментировала произошедшее, признав факт взлома.
«Наши инженеры и специалисты по безопасности проводят расследование в приоритетном порядке. Мы немедленно поделимся проверенной информацией и дальнейшими шагами, как только у нас появятся дополнительные данные», — написали представители Balancer.
Киты спасают капитал
В связи с инцидентом активизировались спящие в течение нескольких использующие протокол киты. Один из них вывел $6,5 млн с платформы.
A whale 0x0090, dormant for 3 years, just woke up after the #Balancer exploit — rushing to withdraw all $6.5M from the #Balancer.If you still have funds on #Balancer, ⚠️ take action and secure them now.https://t.co/ocNGGobPEd pic.twitter.com/nnR5td0DmZ— Lookonchain (@lookonchain) November 3, 2025
Менее чем за сутки TVL Balancer снизился вдвое — с $441 млн на 2 ноября до текущих $270 млн.
Источник: DeFi Llama.
Влияние
Валидаторы Berachain согласованно приостановили работу сети для проведения экстренного хардфорка, чтобы вернуть средства пострадавшим от взлома Balancer пользователям.
The Berachain validators have coordinated to purposefully halt the Berachain network as the core team performs an emergency hard fork to address Balancer V2 related exploits on the BEX. This halt has been executed purposefully, and the network will be operational shortly upon…— Berachain Foundation 🐻⛓ (@berachain) November 3, 2025
По словам разработчиков, атака затронула пул ENA/HONEY.
Глава по развитию экосистемы Berachain под ником Smokey The Bera назвал решение спорным, но необходимым. Он подчеркнул, что ущерб составил около $12 млн.
Напомним, в августе 2023 года разработчики Balancer сообщили о критической уязвимости, которая затронула ряд пулов второй версии DeFi-платформы
