От Balancer до Berachain: приостановка работы сети.

DeFi снова оказался в центре масштабного кризиса.

3 ноября (UTC) ряд проектов на основе Balancer V2 подверглись изощрённой атаке, что привело к совокупным убыткам свыше $120 млн. Пострадали не только основной блокчейн Ethereum, но и сети Arbitrum, Sonic и Berachain. Инцидент стал очередным крупным вызовом для отрасли после взломов Euler Finance и Curve Finance.

Согласно предварительным выводам BlockSec, реализована атака высокой сложности на механизм расчёта цены. Злоумышленник изменил логику вычисления стоимости BPT (Balancer Pool Token), воспользовавшись ошибками округления в инварианте, чтобы искажать цены и многократно проводить арбитражные операции в рамках одного пакетного обмена.

Пример атаки на Arbitrum включал три стадии:

• Сначала злоумышленник обменял BPT на базовые активы, точно доведя баланс cbETH до порогового значения округления (около 9 единиц), создав условия для потери точности;
• Далее фиксированная сумма (=8) переводилась между wstETH и cbETH. При масштабировании нижнее округление немного уменьшило рассчитанное значение Δx, что привело к недооценке Δy, сокращению инварианта стабильного пула D и снижению теоретической цены BPT;
• В итоге злоумышленник вернул базовые активы в BPT и получил прибыль на искусственно заниженной цене.

Фактически, это была прецизионная атака на стыке математики и программного кода.

Официальная команда Balancer подтвердила компрометацию V2 Composable Stable Pools. Ведётся совместное расследование с ведущими экспертами по безопасности, обещан полный пост-инцидентный разбор, а пострадавшие пулы, доступные для заморозки, экстренно приостановлены. Уязвимость характерна только для V2 Composable Stable Pools и не затрагивает Balancer V3 и другие типы пулов.

После взлома Balancer V2 все проекты-форки Balancer столкнулись с серьёзными перебоями. По данным DeFiLlama, на 4 ноября (UTC) общий TVL в смежных проектах снизился до примерно $49,34 млн, что соответствует суточному падению на 22,88%. В BEX — Berachain DEX — TVL сократился на 26,4% до $40,27 млн, что составляет 81,6% TVL экосистемы, однако отток средств продолжился из-за остановки сети и заморозки ликвидности. Beets DEX пострадал ещё сильнее: TVL упал на 75,85% за сутки и почти на 79% за неделю.

Другие DEX на базе Balancer также пережили волну панических выводов: PHUX — минус 26,8% за день, Jellyverse — минус 15,5%, Gaming DEX — минус 89,3% с практически полной потерей ликвидности. Даже небольшие проекты, формально не затронутые атакой — KLEX Finance, Value Liquid и Sobal — столкнулись с типичными оттоками на 5–20%.

Цепная реакция: Berachain экстренно проводит хардфорк

Уязвимость Balancer V2 моментально вызвала цепочку последствий.

Berachain — новая публичная сеть на Cosmos SDK — также пострадала в течение нескольких часов, поскольку её DEX BEX использует контракты Balancer V2. Команда проекта оперативно сообщила о полной остановке сети после выявления подозрительных действий.

USDe Tripool BEX и другие пулы ликвидности оказались под угрозой, под риском — около $12 млн. Злоумышленник применил аналогичный дефект логики, что и в Balancer, выводя средства через множественные взаимодействия со смарт-контрактами. Так как часть активов — не нативные токены, команде пришлось провести хардфорк для отката пострадавших блоков, восстановления и отслеживания.

Параллельно экосистемные протоколы Berachain — Ethena, Relay и HONEY — предприняли защитные меры:

• Заблокировали кроссчейн-переводы USDe;
• Приостановили депозиты на рынках кредитования;
• Остановили выпуск и погашение HONEY;
• Уведомили централизованные биржи о необходимости внесения подозрительных адресов в чёрный список.

Команда Berachain заявила, что пауза сети — осознанная мера, и работа скоро будет восстановлена. Взлом затронул преимущественно трёхпул Ethena/Honey через сложные смарт-контрактные взаимодействия. Поскольку пострадали не только нативные активы, откат/восстановление требует большего, чем стандартный хардфорк, поэтому сеть остаётся на паузе до финального решения.

4 ноября (UTC) команда сообщила о распространении бинарных файлов хардфорка и обновлении части валидаторов. До запуска и возобновления выпуска блоков важно убедиться, что все ключевые инфраструктурные партнёры (ликвидационные оракулы и др.) обновили RPC, поскольку это критично для восстановления сети. После подготовки основных сервисов команда будет координировать действия с мостами, CEX, кастодианами и другими участниками для восстановления сервисов экосистемы.

Параллельно оператор MEV бота Berachain связался с командой после остановки, заявив, что вывел средства как этичный хакер и отправил сообщение в блокчейн. Оператор готов заранее подписать транзакции для возврата средств после восстановления работы сети.

Безопасность или децентрализация?

«Мы понимаем, что это спорно, но когда на кону $12 млн пользовательских средств, защита клиентов — единственный вариант», — отметил сооснователь Berachain Smokey The Bera, отвечая на критику централизации.

Он признал, что Berachain ещё не достиг уровня децентрализации Ethereum, а координация валидаторов больше похожа на кризисный штаб, чем на автоматическую сеть консенсуса. На практике узлы были остановлены всего за час после взлома, что свидетельствует об эффективности централизованных решений, но одновременно показывает степень централизации управления.

Сообщество моментально разделилось.

Часть поддержала решение ради безопасности пользователей — как пример «реалистичной децентрализации». Критики считают, что это нарушает принцип «Code is Law» и подрывает неизменяемость блокчейна.

Ончейн-аналитик ZachXBT отметил: «Когда под угрозой средства пользователей, это было трудное, но верное решение».

Ряд разработчиков возразили: «Если блокчейн можно остановить вручную в любой момент, чем он отличается от традиционной финансовой системы?»

Тень инцидента DAO вновь возвращается

Этот кризис напомнил многим о взломе Ethereum DAO в 2016 году, когда сеть откатила транзакции через хардфорк ради возврата $50 млн, что привело к расколу на Ethereum (ETH) и Ethereum Classic (ETC).

Девять лет спустя дилемма повторяется.

Главным действующим лицом теперь стала молодая публичная сеть без уровня децентрализации и глобального консенсуса крупной платформы.

Вмешательство Berachain уберегло от больших потерь, но вновь поставило вопрос о возможности автономности блокчейна.

В этом смысле DeFi отражает фундаментальную проблему: безопасность, эффективность, децентрализация — ни одна сеть не достигла идеального баланса.

Когда хакеры способны уничтожить десятки миллионов долларов за секунды, идеалы уступают реальности.

Команда Balancer сообщила о сотрудничестве с ведущими экспертами по безопасности и намерена опубликовать подробный анализ инцидента, предупреждая пользователей о фишинговых сообщениях от поддельных команд безопасности.

Berachain планирует поэтапно восстановить выпуск блоков и проведение транзакций после завершения хардфорка.

Но восстановление доверия сложнее, чем исправление кода. Для новой публичной сети остановка — вынужденная мера, способная оставить долгосрочные последствия. Пользователи будут сомневаться в децентрализации, а разработчики — в гарантии неизменяемости.

DeFi, возможно, переосмысляет понятие децентрализации: не как абсолютную свободу, а как консенсус вокруг минимального допустимого компромисса во время кризиса.

Заявление:

1. Статья перепечатана из [Foresight News], авторские права принадлежат первоисточнику [ChandlerZ, Foresight News]. По вопросам перепечатки обращайтесь к команде Gate Learn для оперативного урегулирования.
2. Отказ от ответственности: Мнения, выраженные в публикации, отражают исключительно точку зрения автора и не являются инвестиционной рекомендацией.
3. Переводы на другие языки осуществлены командой Gate Learn. Копирование, распространение или плагиат переводных материалов без указания Gate запрещены.