11月3日深夜、BlockSecの監視システムが赤信号を点灯させた。Balancer V2プロトコルが複数のオンチェーンで同時に攻撃を受け、損失額は1.2億ドルを突破——しかもまだ上昇中である。

今回の攻撃の精度は背筋が寒くなるほどです。ハッカーが狙ったのは、Balancer V2の基盤コードにある非常に隠れたバグ：精度のスケーリングと切り捨て方向の処理の不備です。技術的に聞こえますか？簡単に言うと、契約が資産の割合を計算する際に微小な偏差が生じるということです。普段は全く気づかないのですが、拡大利用されると致命傷になります。

攻撃プロセスは教科書レベルの操作です。第一歩として、フラッシュローンを利用して大量のスタート資金を調達します。今年6月のSTAトークンプール事件が持ち出されました——当時、攻撃者はdYdXから10万枚のWETHを借りてウォームアップし、今回は規模を最大限に引き上げました。第二歩として、VaultコントラクトのbatchSwap機能を呼び出し、安定プールで狂ったように操作します。

鍵は「安定プールの不変量」が壊れてしまったことにあります。通常、この数値はプールの資産比率を一定に保つべきですが、攻撃者は巧妙に設計された取引シーケンスを通じて、契約の計算過程で蓄積誤差を発生させました。各取引で少しずつ利益を得て、何百何千もの取引がパッケージ化されて実行されると、誤差は天文学的な数字の脆弱性に変わります。

最も皮肉なのはタイミングです。市場はちょうど「DeFi正規軍」のストーリーによる炒作を経験したばかりで、さまざまなコンプライアンスフレームワークや監査報告が飛び交っていました。しかし、基盤となるコードの問題がすべてのパッケージを崩壊させたのです。数千のウォレットの資産が瞬時にゼロになり、連鎖的な恐慌が市場の感情を押し下げました。

技術的詳細はまだセキュリティチームによって継続的に開示されていますが、教訓はすでに明確です：どんなに華麗な製品デザインも、コードのレベルでの一つの不注意には耐えられません。