نشرت منصة بالانسر (Balancer) تقريرًا أوليًا يوم الأربعاء يوضح تفاصيل الهجوم الذي أدى إلى سرقة نحو 116 مليون دولار من بروتوكول التمويل اللامركزي (DeFi) الخاص بها.
وأفاد التقرير أن الهجوم استهدف مجمعات Balancer v2 Stable وComposable Stable v5، بينما ظلت باقي أنواع المجمعات غير متأثرة.
ثغرة في خاصية التقريب سمحت بالتلاعب بالأسعار
أوضحت بالانسر أن المهاجم استغل مزيجًا من عمليات BatchSwaps — التي تسمح بتنفيذ عدة أوامر في معاملة واحدة — إلى جانب قروض فورية (Flashloans) وثغرة في دالة التقريب (rounding function) المستخدمة في معاملات EXACT_OUT.
أتاحت هذه الثغرة للمهاجم التلاعب في احتساب أسعار الرموز داخل المجمعات المستقرة وسحب السيولة منها تدريجيًا.
وبحسب الفريق التقني، كان من المفترض أن تقوم الدالة بتقريب الأرقام للأسفل عند إدخال الأسعار، لكن المهاجم اكتشف طريقة لتغيير اتجاه التقريب في ظروف معينة، مما سمح له بتحريك الرموز بسرعة عبر خزان البروتوكول (Vault).
وأشار التقرير إلى أن “جزءًا كبيرًا من الأموال المسروقة بقي داخل الخزان كأرصدة داخلية قبل سحبها لاحقًا عبر معاملات متتابعة.”
رد الفعل والتحقيقات الجارية
قال محللو الأمن السيبراني إن العملية كانت معدة منذ أشهر، حيث استخدم المهاجم إيداعات صغيرة عبر Tornado Cash لإخفاء مصدر الأموال. ووصف المحققون التنفيذ بأنه “منهجي ودقيق”، ما يشير إلى معرفة عميقة ببنية كود بالانسر وآليات السيولة الخاصة به.
وأكدت المنصة أنها تعمل مع شركاء في الأمن السيبراني وبروتوكولات DeFi أخرى لتجميد أو استعادة الأصول المسروقة. وتم حتى الآن تتبع وتجميد 5,041 من رموز osETH (بقيمة نحو 19 مليون دولار) و13,495 من رموز osGNO (بقيمة تقارب 2 مليون دولار).
كما قامت بالانسر بإيقاف جميع المجمعات المتأثرة ومنعت إنشاء أي مجمعات مستقرة جديدة حتى يتم تنفيذ إصلاح دائم. وأوضحت أن باقي الإصدارات الأخرى من المجمعات لم تتأثر بالاختراق وأن السيولة فيها ما تزال آمنة.
مكافأة “القبعة البيضاء” والتحقيق المستمر
عرضت المنصة مكافأة بنسبة 20% لأي مخترق أخلاقي أو حتى للمهاجم نفسه في حال إعادة الأصول المسروقة، إلا أنه حتى الآن لم يتقدم أحد لاستلام المكافأة أو التواصل مع الفريق.
وتواصل شركات الأمن الرقمي تتبع حركة الرموز المسروقة عبر عدة منصات DeFi ومحافظ خلط (mixers).
وشكرت بالانسر المجتمع التقني الذي سارع للمساعدة في احتواء الحادثة، بما في ذلك مطورون من مشاريع DeFi كبرى ساهموا في منع مزيد من السحوبات.
وقالت المنصة في بيانها: “التعاون السريع عبر منظومة التمويل اللامركزي حال دون خسائر أكبر بكثير.”
أزمة متكررة في أمان بروتوكولات DeFi
يأتي الهجوم في وقت تتزايد فيه الضغوط على مشاريع التمويل اللامركزي لتشديد معايير الأمان والمراجعة بعد سلسلة من الاختراقات الكبرى.
ووفق بيانات DefiLlama، بلغت الخسائر الناتجة عن سرقات بروتوكولات DeFi أكثر من 2.3 مليار دولار في عام 2025، وكانت الهجمات باستخدام القروض الفورية مسؤولة عن نسبة متنامية منها.
وأوضح مهندسو بالانسر أنهم بصدد مراجعة شاملة للكود البرمجي وإجراء عمليات تدقيق إضافية مستقلة قبل إعادة فتح المجمعات المتأثرة، مضيفين أن الدروس المستخلصة من هذا الهجوم ستُستخدم لوضع نماذج أمان جديدة في جميع الإصدارات المستقبلية من البروتوكول.