Купути криптовалюту
Оплачуйте
USD
Купити та продати
HOT
Купуйте та продавайте криптовалюту через Apple Pay, картки, Google Pay, Банківський переказ тощо
P2P
0 Fees
Нульова комісія, понад 400 способів оплати та зручна купівля й продаж криптовалют
Gate Card
Криптовалютна платіжна картка, що дозволяє здійснювати безперешкодні глобальні транзакції.
Торгівля
Тип торгівлі
Спот
Вільно торгуйте криптовалютою
Alpha
Поінти
Отримуйте перспективні токени в спрощеній ончейн торгівлі
Премаркет
Торгуйте новими токенами до їх офіційного лістингу
Маржа
Збільшуйте свій прибуток за допомогою кредитного плеча
Конвертація та блокова торгівля
0 Fees
Торгуйте будь-яким обсягом без комісій та прослизань
Токени з кредитним плечем
Отримайте швидкий доступ до позицій кредитного плеча
Ф'ючерси
Ф'ючерси
Поінти
Сотні контрактів розраховані в USDT або BTC
Опціони
HOT
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Демо торгівля
Запуск ф'ючерсів
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Беріть участь у подіях, щоб виграти щедрі винагороди
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
Earn
Запуск
CandyDrop
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
Launchpad
Будьте першими в наступному великому проекту токенів
Alpha Поінти
New
Торгуйте ончейн-активами і насолоджуйтеся аірдроп-винагородами!
Ф'ючерсні бали
New
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Simple Earn
Заробляйте відсотки за допомогою неактивних токенів
Автоінвестування
Автоматичне інвестування на регулярній основі
Подвійні інвестиції
Купуйте дешево і продавайте дорого, щоб отримати прибуток від коливань цін
Soft Staking
Earn rewards with flexible staking
Криптопозика
0 Fees
Заставте одну криптовалюту, щоб позичити іншу
Центр кредитування
Єдиний центр кредитування
Центр багатства VIP
New
Індивідуальне управління капіталом сприяє зростанню ваших активів
Управління приватним капіталом
Індивідуальне управління активами для зростання ваших цифрових активів
Квантовий фонд
Найкраща команда з управління активами допоможе вам отримати прибуток без клопоту
Стейкінг
Стейкайте криптовалюту, щоб заробляти на продуктах PoS
BTC Стейкінг
HOT
Стейкайте BTC та отримуйте 10% APR
Випуск GUSD
New
Використовуйте USDT/USDC для випуску GUSD з дохідністю на рівні казначейських облігацій
Більше
- Популярні темиДізнатися більше
26.8K Популярність
226.57K Популярність
229 Популярність
113 Популярність
73.35K Популярність
- Популярні активності Gate FunДізнатися більше
- Рин. кап.:$4.21KХолдери:10.00%
- Рин. кап.:$4.1KХолдери:10.00%
- Рин. кап.:$4.1KХолдери:10.00%
- Рин. кап.:$4.1KХолдери:10.00%
- Рин. кап.:$4.1KХолдери:10.00%
- Закріпити
Перший звіт про Balancer опубліковано! Уразливість функції згортування спричинила катастрофу на 116 мільйонів доларів
去中心化 фінансовий протокол Balancer опублікував попередній післяінцидентний звіт, у якому пояснюються причини вразливості, що призвела до крадіжки 1,16 мільярда доларів у DeFi-ринку. Цього тижня Balancer зазнав складної атаки на рівні коду, яка вплинула на стабільні пули v2 та Composable стабіль v5, тоді як інші типи пулів залишилися неушкодженими. Ця цілеспрямована атака свідчить про глибоке розуміння хакером коду Balancer, що дозволило йому виявити та уникнути більш захищених пулів.
Хакер поєднав використання BatchSwaps (функція, яка дозволяє об’єднувати кілька операцій у один транзакційний пакет, включаючи флеш-кредити — короткострокові позики, що беруться і повертаються у межах однієї транзакції) з експлуатацією функції округлення у стабільних пулах, що використовуються для EXACT_OUT обмінів. Це поєднання є ключем до складності атаки.
Функція округлення у фінансових системах — це важлива, але дрібна технічна деталь. Вона призначена для зменшення похибок при обчисленнях цін токенів, зокрема при зменшенні ймовірності втрат через округлення. Хакер підробив ці значення округлення і, використовуючи BatchSwaps, викрав кошти з стабільних пулів. У звіті Balancer зазначено: «У багатьох випадках викрадені кошти залишаються у внутрішніх балансах, а потім виводяться через подальші транзакції.»
Суть цієї складної атаки полягає у використанні акумуляції мікроскопічних похибок округлення. У межах однієї транзакції ці похибки можуть становити лише кілька долей цента, але при масовій обробці тисяч або десятків тисяч таких операцій вони накопичуються у значні суми. Використання флеш-кредитів дозволяє хакеру масштабувати цю ефекту, позичаючи великі суми без початкового капіталу, виконуючи арбітражні операції, погашаючи позиції і отримуючи прибуток.
Аналіз технік атаки
BatchSwaps — пакетна атака: об’єднання тисяч дрібних арбітражних операцій для накопичення округлювальних похибок
Флеш-кредити — підсилювач ефекту: позичання великих сум без початкового капіталу для масштабування атаки
Вразливість EXACT_OUT: цільова експлуатація слабкості функції округлення у конкретних обмінах, що дозволяє обійти інші механізми безпеки
З технічної точки зору, ця атака виявила системний ризик у обробці числової точності у DeFi-протоколах. Смарт-контракти мають балансувати між ефективністю обчислень і точністю, але саме цей баланс стає точкою вразливості. У нормальних умовах функція округлення працює коректно, але при екстремальних сценаріях — масштабних пакетних операціях — вона виявляє слабкість.
( Особистості хакерів і процес підготовки до атаки
Зазвичай ці хакери — висококваліфіковані фахівці, які готувалися до атаки кілька місяців. Вони використовували серії депозитів у Tornado Cash по 0,1 ETH для фінансування операцій, щоб уникнути виявлення. Tornado Cash — сервіс змішування криптовалюти, що забезпечує приватність транзакцій, ускладнюючи відстеження джерел коштів і тому популярний серед кіберзлочинців.
Малі депозити по 0,1 ETH — класична стратегія протидії відстеженню. Замість однієї великої суми, яка могла б викликати підозру, вони розподіляють кошти на сотні або тисячі дрібних транзакцій. Це створює «пилюку» (dusting), що ускладнює відновлення повної картини руху коштів навіть для професійних аналітичних компаній.
«Місяцями підготовки» — свідчення ретельного планування. Це не випадкова атака, а добре спланована операція. Хакери досліджували код Balancer, тестували вразливості, моделювали атаки у локальних середовищах і розробляли схеми виведення коштів. Такий рівень підготовки вимагає глибоких технічних знань, розуміння DeFi і навичок аналізу блокчейну.
За словами керівника компанії Cyvers Deddy Lavid, ця атака — одна з найскладніших у 2025 році. Cyvers — компанія, що спеціалізується на моніторингу транзакцій і виявленні аномалій у блокчейні, оцінила її як «найскладнішу» за рівнем технічної складності, прихованості та точності виконання.
Ця атака нагадує про те, що відкриті гаманці, пулі ліквідності і активи у мережі залишаються вразливими до постійно еволюціонуючих кіберзагроз. Водночас, відкритий код DeFi — це і перевага, і недолік: він дозволяє аудит і прозорість, але одночасно дає зловмисникам можливість досліджувати і знаходити вразливості. Це вимагає від розробників передбачати, що зловмисники мають рівень знань не гірший за їхніх.
)# Прогрес у поверненні викрадених коштів і колаборація спільноти
![Повернення коштів Balancer]###https://img-cdn.gateio.im/social/moments-87a9b3933a-7dee860edb-153d09-cd5cc0###
(джерело: X)
Balancer у співпраці з кібербезпековими партнерами і іншими протоколами вже вдалося повернути або заблокувати частину викрадених коштів, зокрема близько 19 мільйонів доларів у 5041 ETH, що були залучені через StakeWise (osETH), та до 2 мільйонів доларів у 13495 osGNO. Загалом це близько 21 мільйона доларів, що становить приблизно 18% від загальної суми викраденого — досить високий показник для таких інцидентів.
Можливість повернути або заблокувати активи демонструє важливість внутрішньої колаборації у криптоекосистемі. osETH і osGNO — це токени, що належать відповідним протоколам, і їхні розробники можуть ідентифікувати підозрілі адреси та блокувати їхні активи. Така кооперація особливо цінна у децентралізованому середовищі, де немає центральної влади, що може примусово накласти обмеження. Замість цього, протоколи добровільно співпрацюють, обмінюються інформацією і координують дії.
Команда Balancer тимчасово зупинила всі уражені пули і відключила створення нових «уразливих» пулів до усунення проблем безпеки. Це болюче, але необхідне рішення. Зупинка роботи пулів означає, що користувачі тимчасово не зможуть користуватися цими сервісами, що шкодить репутації і довірі. Однак дозволити функціонування уразливих пулів — означає ризикувати ще більшими втратами, тому тимчасова зупинка є відповідальним кроком.
Balancer запропонував досконалість винагороду у розмірі 20% за допомогу у поверненні викрадених коштів, але станом на момент написання статті ніхто не скористався цим. Це приблизно 23 мільйони доларів у нагороді. Відсутність відповідей може бути зумовлена кількома причинами: бажанням зберегти анонімність, страхом перед юридичними наслідками або переконанням, що вони зможуть відмити кошти і отримати їх цілком.
Підсумки заходів Balancer
Миттєві дії: після виявлення атаки — зупинка уражених пулів для запобігання подальших втрат
Колаборація: співпраця з StakeWise, Gnosis та іншими протоколами для блокування викрадених активів
Прозорість: швидке публікування звіту, пояснення механізмів атаки і заходів реагування
Фінансові стимули: пропозиція винагороди у 20% для заохочення повернення викрадених коштів, але поки що без відповідей
Цей інцидент з атакою на Balancer ще раз підкреслює вразливість DeFi-систем і важливість ретельного аудиту безпеки.