作者:Jack Inabinet 出典:bankless 翻訳:善欧巴、金色财经
Balancer は話題の分散型取引所で、自動再平衡流動性プールとトークンインセンティブ型流動性報酬メカニズムを特徴としています。最近、その V2 バージョンの流動性金庫がハッキングされ、数千万ドルの損失を出しました。
多くの Balancer V2 のフォーク版(つまり Balancer コードを再利用した代替取引所)も影響を受け、複数の影響を受けたブロックチェーンは後続の損失を軽減するために積極的な措置を講じました。
今回の事件が暗号業界に連鎖反応を引き起こした理由は何か?以下で詳しく解説します。
11月3日(月)未明、エーテル、Base、Polygon、Arbitrum などのチェーン上に展開された Balancer V2 金庫が脆弱性攻撃を受け、約8000万ドルを失いました。この問題は V2 バージョンの「コンポーザブル安定プール」にのみ存在し、Balancer V3 やその他のタイプのプールには影響しませんでした。
データ分析プラットフォーム DeFiLlama によると、Balancer V2 には27の独立したフォーク版が存在します。大多数のフォークプロトコルのロックアップ量は微々たるものですが、攻撃者は Sonic エコシステムの Beets プロトコルから340万ドル、Optimism エコシステムの Beethoven プロトコルから28.3万ドルを窃取しました。さらに、Berachain 上に構築された Balancer ベースのネイティブ取引所 BEX には約1200万ドルのユーザー資金がリスクにさらされています。
この記事執筆時点では、Balancer は公式の事後分析レポートを公開していませんが、一部の見解では、脆弱性の根源は「manageUserBalance」関数のアクセス検査に欠陥があったことにあるとされています。また、攻撃は Balancer プールのトークン価格の「不変量操作」に起因したとも推測されています。
脆弱性攻撃後、Balancer およびそのフォーク版のユーザーは資産保護のために緊急撤退を行いました。長い眠りについていたクジラユーザーの一人は、攻撃発生後30分以内に単一の取引で Balancer から全ての GNO-WETH 資産650万ドルを引き出しました。
損失を抑えるため、一部のブロックチェーンは極端な手段を取りました。これらのアグレッシブな措置は危機対応と中央集権的コントロールの境界を曖昧にしています。
Polygon の Balancer V2 展開は約10万ドルの損失にとどまりましたが、ネットワークのバリデーターはハッカーの取引を検査し、実質的に盗まれたデジタル資産を凍結しました。
Sonic はネイティブトークン「S」のロジックを改変し、Sonic 財団がウォレットアドレスをブラックリストに登録(所有禁止)できる権限を得て、攻撃者の S トークン残高を空にしました。
一方、Berachain は全ネットワークのブロック生成を完全停止し、出块を一時停止して BEX(Berachain の公式ネイティブ取引所)でのさらなる資産盗難を防ぎました。
今回の Balancer 脆弱性攻撃は、暗号業界全体に二つの重要な問いを投げかけています。
Balancer V2 は実績のあるプロトコルです。運用は4年以上にわたり、複数の独立機関によるスマートコントラクト監査も受けています。それでも簡単に攻撃されるとなると、疑問が生じます——他の DeFi プロトコルは安全なのか?
暗号ユーザーはブロックチェーンの便利さを享受していますが、あるDeFi の基盤となるプロトコルに存在した脆弱性が長年にわたり監査の専門家に見逃されてきた場合、無許可のスマートコントラクトを基盤とするアプリの安全性に対して絶対的な信頼を持つのはますます難しくなるでしょう。
Polygon、Sonic、Berachain などのブロックチェーンには攻撃者の資金をロックする能力があるのに、なぜ金融規制当局はこれら(および他の中央集権度の高い)ブロックチェーンに対して、「違法と認定した活動」の資金を強制的にロックさせることができないのか?
2023年3月、MakerDAO の金庫フロントエンド Oasis.app(現在は Summer.fi に改名)は、イングランドおよびウェールズ高等裁判所の命令に従い、管理者の秘密鍵のバックドアを通じて自身のスマートコントラクトにアクセスし、Wormhole クロスチェーンブリッジのハッカー事件から2.25億ドルの暗号資産を回収しました。
この事件は、伝統的な法律体系が逮捕やその他の法的措置を通じて、分散型プロトコルに特定の行動を取らせることが可能であることを示しています。今後、規制当局はこのモデルを踏襲し——裁判所の命令だけで、多くのチェーン上で認められない行為(例:無政府的な規制や本人確認のない取引)に対して取り締まりを行うことが可能になるのかもしれません。
22.49K 人気度
67.09K 人気度
36.63K 人気度
8.37K 人気度
18.77K 人気度
Balancer V2の脆弱性攻撃のその後の影響
作者:Jack Inabinet 出典:bankless 翻訳:善欧巴、金色财经
Balancer V2 の脆弱性攻撃のその後の影響
Balancer は話題の分散型取引所で、自動再平衡流動性プールとトークンインセンティブ型流動性報酬メカニズムを特徴としています。最近、その V2 バージョンの流動性金庫がハッキングされ、数千万ドルの損失を出しました。
多くの Balancer V2 のフォーク版(つまり Balancer コードを再利用した代替取引所)も影響を受け、複数の影響を受けたブロックチェーンは後続の損失を軽減するために積極的な措置を講じました。
今回の事件が暗号業界に連鎖反応を引き起こした理由は何か?以下で詳しく解説します。
Balancer の重大なミス
11月3日(月)未明、エーテル、Base、Polygon、Arbitrum などのチェーン上に展開された Balancer V2 金庫が脆弱性攻撃を受け、約8000万ドルを失いました。この問題は V2 バージョンの「コンポーザブル安定プール」にのみ存在し、Balancer V3 やその他のタイプのプールには影響しませんでした。
データ分析プラットフォーム DeFiLlama によると、Balancer V2 には27の独立したフォーク版が存在します。大多数のフォークプロトコルのロックアップ量は微々たるものですが、攻撃者は Sonic エコシステムの Beets プロトコルから340万ドル、Optimism エコシステムの Beethoven プロトコルから28.3万ドルを窃取しました。さらに、Berachain 上に構築された Balancer ベースのネイティブ取引所 BEX には約1200万ドルのユーザー資金がリスクにさらされています。
この記事執筆時点では、Balancer は公式の事後分析レポートを公開していませんが、一部の見解では、脆弱性の根源は「manageUserBalance」関数のアクセス検査に欠陥があったことにあるとされています。また、攻撃は Balancer プールのトークン価格の「不変量操作」に起因したとも推測されています。
脆弱性攻撃後、Balancer およびそのフォーク版のユーザーは資産保護のために緊急撤退を行いました。長い眠りについていたクジラユーザーの一人は、攻撃発生後30分以内に単一の取引で Balancer から全ての GNO-WETH 資産650万ドルを引き出しました。
損失を抑えるため、一部のブロックチェーンは極端な手段を取りました。これらのアグレッシブな措置は危機対応と中央集権的コントロールの境界を曖昧にしています。
Polygon の Balancer V2 展開は約10万ドルの損失にとどまりましたが、ネットワークのバリデーターはハッカーの取引を検査し、実質的に盗まれたデジタル資産を凍結しました。
Sonic はネイティブトークン「S」のロジックを改変し、Sonic 財団がウォレットアドレスをブラックリストに登録(所有禁止)できる権限を得て、攻撃者の S トークン残高を空にしました。
一方、Berachain は全ネットワークのブロック生成を完全停止し、出块を一時停止して BEX(Berachain の公式ネイティブ取引所)でのさらなる資産盗難を防ぎました。
Balancer が引き起こした核心的疑問
今回の Balancer 脆弱性攻撃は、暗号業界全体に二つの重要な問いを投げかけています。
問題一:Balancer V2 さえ簡単に攻撃されるのなら、他の DeFi プロトコルは安全なのか?
Balancer V2 は実績のあるプロトコルです。運用は4年以上にわたり、複数の独立機関によるスマートコントラクト監査も受けています。それでも簡単に攻撃されるとなると、疑問が生じます——他の DeFi プロトコルは安全なのか?
暗号ユーザーはブロックチェーンの便利さを享受していますが、あるDeFi の基盤となるプロトコルに存在した脆弱性が長年にわたり監査の専門家に見逃されてきた場合、無許可のスマートコントラクトを基盤とするアプリの安全性に対して絶対的な信頼を持つのはますます難しくなるでしょう。
問題二:一部のブロックチェーンがハッカーの資金をロックできるのなら、規制当局はなぜ「違法活動」の資金を強制的にロックできないのか?
Polygon、Sonic、Berachain などのブロックチェーンには攻撃者の資金をロックする能力があるのに、なぜ金融規制当局はこれら(および他の中央集権度の高い)ブロックチェーンに対して、「違法と認定した活動」の資金を強制的にロックさせることができないのか?
2023年3月、MakerDAO の金庫フロントエンド Oasis.app(現在は Summer.fi に改名)は、イングランドおよびウェールズ高等裁判所の命令に従い、管理者の秘密鍵のバックドアを通じて自身のスマートコントラクトにアクセスし、Wormhole クロスチェーンブリッジのハッカー事件から2.25億ドルの暗号資産を回収しました。
この事件は、伝統的な法律体系が逮捕やその他の法的措置を通じて、分散型プロトコルに特定の行動を取らせることが可能であることを示しています。今後、規制当局はこのモデルを踏襲し——裁判所の命令だけで、多くのチェーン上で認められない行為(例:無政府的な規制や本人確認のない取引)に対して取り締まりを行うことが可能になるのかもしれません。