Balancerハッキング：1億1600万ドルの流出とDeFiセキュリティの現状

重要なポイント

• 2025年11月3日に発生したBalancerハッキングにより、1億1600万ドル以上の損失が発生し、今年最大級のDeFiエクスプロイトとなりました。

• このインシデントは、7つの異なるブロックチェーン（Ethereum、Arbitrum、Base、Sonic、Polygon、Optimism、Berachain）上のBalancer V2プールのみに影響を与えました。

• 攻撃者は「manageUserBalance」関数のアクセス制御の脆弱性を悪用し、許可なくボールトから資金を引き出しました。

• V3プールは安全であり、旧バージョンのみが影響を受けたことがチームによって確認されています。

• DeFiプラットフォームは、徹底的な監査を受けていても、依然としてスマートコントラクトのバグや技術的なエクスプロイトに対して脆弱です。

はじめに

2025年11月3日に発生したBalancerハッキングは、今年最大級のDeFiエクスプロイトであり、仮想通貨エコシステムにおける根本的な問題を浮き彫りにしました。

1億1600万ドル以上の資産が盗難されたこの事件では、Balancer V2プールのセキュリティ脆弱性が露呈し、7つの異なるブロックチェーンのユーザーが影響を受けました。

しかし、ここで重要な疑問が生じます。OpenZeppelinやTrail of Bitsのような専門機関による監査を受けたプロトコルでさえハッキングされるのであれば、分散型取引所（DEX）に預けている資金は本当に安全なのでしょうか？

本記事では、何が起こったのか、ハッカーがどのように攻撃したのか、そして今すぐ取るべき実践的な対策について解説します。

安全な仮想通貨取引所WEEXに今すぐ登録しましょう！ 最先端のセキュリティ対策、専門的な監査、24時間年中無休の監視体制で、お客様の資産をしっかり保護します。今すぐ無料で登録！

何が起きたのか？Balancerハッキングの概要

2025年11月3日、協定世界時（UTC）9時18分頃、DeFiプロトコルのBalancerが大規模なエクスプロイトの標的となりました。

ブロックチェーンセキュリティ企業のPeckShieldが、Balancerのボールトから大量のステーキング済みETHトークンが流出している不審なトランザクションを最初に検知しました。

盗まれた資産には、主に6,587 WETH（Wrapped Ether）、6,851 osETH（StakeWise Staked ETH）、4,260 wstETH（Lido Wrapped Staked ETH）が含まれ、総額は1億1600万ドルを超えています。

この攻撃は単一のブロックチェーンに限定されず、複数のネットワークにまたがっていました：

Ethereum（約1億ドルの被害）、Arbitrum、Base、Sonic、Polygon、Optimism、Berachainが影響を受けました。

さらに深刻なことに、セキュリティ企業がリアルタイムでトランザクションを追跡する中、攻撃は数時間にわたって継続しました。

技術的詳細：エクスプロイトの仕組み

BlockSecおよび他のブロックチェーンセキュリティ専門家による技術分析の結果、攻撃者はBalancerの「manageUserBalance」関数の重大な脆弱性を悪用したことが判明しました。

セキュリティ脆弱性の解説

問題は、検証関数内の不適切なアクセス制御のバグにありました。

通常、システムはメッセージ送信者が操作送信者と一致するかを厳密に検証する必要があります。

しかし、この脆弱性により、権限のない第三者が「UserBalanceOpKind.WITHDRAW_INTERNAL」操作を通じて、必要な承認なしに内部残高を引き出すことが可能になっていました。

攻撃対象となったBalancerのボールトアーキテクチャ

Balancer V2は、すべてのプールからのトークンを単一のスマートコントラクト（ボールト）に保持する独自のボールトアーキテクチャを採用しています。

この革新的なアプローチは、トークンの会計処理をプールロジックから分離し、プールの効率性を高めるものです。

しかし、この集約化が逆に魅力的な高価値の標的を生み出しました。ボールトへの攻撃が成功すれば、複数のプールに同時に影響を与えることができるためです。

  影響を受けた資産とプロトコル

損失は、流動性の高さからDeFiプロトコルで特に人気のあるステーキング済みETHのバリエーションに集中しました。

盗難資産の概要：

ユーザーにとって重要な点：影響を受けたのはBalancer V2プールのみです。

チームは、Balancer V3プールは安全であり、侵害されていないことを明言しています。

ただし、Balancerのフォークプロジェクトも攻撃を受けており、Sonicチェーン上のBeets FinanceやOptimism上のBeethovenなどが含まれます。

Berachain Foundationは、ネットワーク全体を一時停止し、侵害されたコントラクトを隔離するために緊急のハードフォークを実施せざるを得ませんでした。

DeFiプラットフォームにおける一般的なハッカーのリスク

Balancerのハッキングは孤立した事例ではありません。2025年には、すでに20億ドルを超える損失をもたらしたDeFiエクスプロイトの長いリストに加わることになります。

なぜDeFiプラットフォームはこれほど脆弱なのか？

• スマートコントラクトの脆弱性 スマートコントラクトはDeFiのバックボーンですが、その不変性ゆえに脆弱でもあります。

一度デプロイされると、バグを簡単に修正することはできません。

一般的な脆弱性には、リエントランシー攻撃、整数オーバーフロー、アクセス制御エラーなどがあります。

• フラッシュローン攻撃 フラッシュローンを利用すると、担保なしで大量の仮想通貨を借りることができます（ただし、同一トランザクション内で返済する必要があります）。

攻撃者はこのメカニズムを利用して価格を操作したり、プロトコルの弱点を突いたりします。

2023年には、フラッシュローンベースの攻撃が全DeFiエクスプロイトの62.5%を占めていました。

• オラクル操作 DeFiプロトコルは、価格データのために外部データソース（オラクル）に依存しています。

これらが操作されると、攻撃者は誤った価格で資産を取引し、流動性を枯渇させることができます。

• 透明性の罠 DeFiのオープンソースという性質は諸刃の剣です。コミュニティによるレビューを可能にする一方で、攻撃者に潜在的な弱点への完全な洞察を与えてしまいます。

ハッカーはコントラクトのロジックを研究し、攻撃をシミュレートし、攻撃前に脆弱性を特定することができます。

専門的なレビューにもかかわらず失敗した監査

特に懸念されるのは、BalancerがOpenZeppelin、Trail of Bits、Certoraといった主要なセキュリティ企業による監査を受けていたという事実です。

それにもかかわらず、重大な脆弱性が見過ごされていました。

これは、特にマルチチェーン展開を行う複雑なDeFiプロトコルにおいて、広範な監査であっても100%の安全性を保証できないことを示しています。

ユーザーが今すべきこと

Balancer V2プールを利用したことがある場合は、即時の対応が必要です：

• ポジションの確認 影響を受けたV2プールに資産があるかどうかを確認してください。

V3プールは安全であり、対応は不要です。

• 権限の取り消し revoke.cashなどのツールを使用して、Balancerコントラクトへのトークン承認を取り消してください。

これにより、将来的なエクスプロイトがウォレットにアクセスするのを防ぐことができます。

• 資金の引き出し 可能であれば、影響を受けたプールから残りの資産を引き出してください。
• 監視とアップデート 調査や補償に関する最新情報については、Balancerの公式チャンネルをフォローしてください。

チームは被害を軽減するためにセキュリティ企業と協力しています。

過去のBalancerハッキング

これはBalancerにとって初めてのセキュリティインシデントではありません：

2020年： フラッシュローン攻撃により、デフレトークンのメカニズムを悪用され50万ドルの損失。

2023年（8月）： V2 Boosted Poolsのエクスプロイトにより、Linear Poolコントラクトの丸め誤差が原因で100万〜200万ドルの損失。

2023年（9月）： ドメイン登録業者EuroDNSを経由したDNSソーシャルエンジニアリング攻撃により、ユーザーがフィッシングサイトに誘導され23万8000ドルの損失。

2025年（11月）： 今回の1億1600万ドルのエクスプロイトは、Balancer史上最大のハッキングです。

この軌跡は、継続的なセキュリティ向上にもかかわらず、セキュリティインシデントがエスカレートしている懸念すべきパターンを示しています。

結論：DeFiセキュリティは最優先事項

Balancerハッキングは、DeFiにおける継続的なセキュリティ課題を浮き彫りにしました。

複数の専門的な監査を受けていても、特にマルチチェーン展開を行う複雑なスマートコントラクトシステムでは、重大な脆弱性が見過ごされる可能性があります。

投資家にとって、これはデューデリジェンス（適正評価）が不可欠であることを意味します。

監査レポートを確認し、実績のあるプロトコルを優先し、複数のプラットフォームに分散投資し、多額の保有にはハードウェアウォレットを使用してください。

DeFi業界は進歩しており、レンディングプロトコルは2020年以降、セキュリティを98.4%向上させています。

しかし、スマートコントラクトが人間によって書かれている限り、エラーの可能性は残ります。

鍵となるのは、継続的な警戒、定期的なセキュリティアップデート、そして意識的なリスク管理です。

WEEXではお客様のセキュリティを最優先しています！ 今すぐ口座を開設し、最高水準のサービスを享受し、仮想通貨を最適に保護しましょう。

口座を保護する！

FAQ - よくある質問

Balancer V3プールは安全ですか？

はい、チームはV2プールのみが影響を受けており、V3プールにはセキュリティ上の脆弱性がないことを確認しています。

影響を受けたユーザーへの返金はありますか？

現時点では公式発表はありません。チームは引き続きインシデントを調査し、セキュリティ企業と協力しています。

自分のプールが影響を受けているか確認する方法は？

Balancerの公式サイトやEtherscanなどのブロックチェーンエクスプローラーで、流動性ポジションがV2プールにあるかどうかを確認してください。V2プールが主なリスク対象です。

どのブロックチェーンが影響を受けましたか？

Ethereum（約1億ドルの最大被害）、Arbitrum、Base、Sonic、Polygon、Optimism、Berachainです。

他のDeFiプロトコルも同様に攻撃される可能性がありますか？

はい、同様のボールトアーキテクチャやアクセス制御の脆弱性を持つプロトコルは、影響を受ける可能性があります。様々なチェーン上に少なくとも27のBalancerフォークが存在し、その多くが潜在的に脆弱です。

Balancerは将来のハッキングを防ぐために何をしていますか？

チームは影響を受けたコントラクトのパッチ作成と、強化されたセキュリティ監査を実施しています。詳細は公式チャンネルを通じて伝達されます。

DeFiプラットフォームは、中央集権型取引所と比較してどの程度安全ですか？

DeFiプラットフォームは、カストディリスクではなくスマートコントラクトリスクという異なるリスクプロファイルを持っています。2020年以降、DeFiのセキュリティ基準は大幅に向上し、成熟したレンディングプロトコルではインシデントが98.4%減少しています。

WEEX | DACH地域で急成長中の仮想通貨取引所

WEEXは、初心者からプロまで楽しめる機能で、セキュリティ、イノベーション、コミュニティを融合させています：

セキュリティと保護

• 1,000 BTC保護基金：万が一の事態に備えた、迅速な損失補填のための自己資金準備金

取引と収益

• Auto Earn：手間をかけずに毎日USDTを獲得
• コピートレード：エリートトレーダーを自動でフォロー、またはエリートトレーダーとして応募して追加特典を獲得
• WE-Launch：新規プロジェクトへの早期アクセス（WEEXユーザー限定）

特典と報酬

• プロモーションと報酬：アクティブユーザー向けの取引コンテストや特別ボーナス
• アフィリエイトプログラム：新規ユーザーからの生涯手数料還元 - 詳細はこちら
• VIP特典：大口トレーダー向けの最低手数料、市場インサイト、パーソナルサポート
• WXTトークン：手数料割引、エアドロップ、限定プラットフォーム特典

WEEX現物取引で最新トレンドを発見し、今すぐ始めましょう：今すぐ登録

免責事項 – WEEX取引所からの法的通知

WEEXおよびその関連会社は、デリバティブや証拠金取引を含むデジタル資産の交換サービスを、法的に許可されている地域および適格なユーザーに対してのみ提供します。すべてのコンテンツは一般的な情報であり、財務上のアドバイスではありません。取引前に独立したアドバイスを求めてください。仮想通貨の取引には高いリスクが伴い、全損につながる可能性があります。WEEXサービスを利用することで、関連するすべてのリスクと条件に同意したものとみなされます。失っても許容できる以上の投資はしないでください。詳細については、利用規約およびリスク開示をご覧ください。