DeFiプロトコル「Balancer V2」で大規模流出 『丸め誤差』が招いたセキュリティリスクとは
2025年11月3日、分散型取引所(DEX)プロトコル「Balancer」で、V2版の一部プールにおいて約1億2,000万ドル(日本円換算で約180億円相当)の暗号資産が流出したと、オンチェーンセキュリティ企業PeckShieldが報告した。
Balancer V2「Composable Stable Pool」で流出 丸め誤差とアクセス制御不足が原因
Balancerは2020年に立ち上がった自動マーケットメイカー(AMM)型のDEXプロトコルであり、2021年にV2、2024年にV3を導入している。
今回の被害は、V2版の「コンポーザブル・ステーブル・プール(※)」において発生している。
攻撃の詳細として、ブロックチェーン分析企業BlockSecによれば、プール内部の計算ロジックにおける極めて小さな「丸め誤差(Rounding Error)」を悪用して、少額スワップを大量に反復させ、残高差を積み上げたうえでプール残高を一括引き出すという戦略が用いられたという。
また、ユーザー残高を管理する関数内のアクセス制御が不十分だった点も併せて指摘されている。
攻撃は複数のチェーン(イーサリアム、アービトラム、ベース、ソニック、ポリゴン等)にまたがって確認されており、流出資産には約6,851 osETH(約2,690万ドル相当)、6,587 WETH(約2,450万ドル相当)、4,260 wstETH(約1,930万ドル相当)などが含まれると報じられている。
Balancer側も11月4日、公式Xアカウントで「V2版のコンポーザブル・ステーブル・プールの一部がエクスプロイトを受けた」と表明し、問題のプールを停止してリカバリーモードに移行している。
※コンポーザブル・ステーブル・プール:複数のステーブルコインやリキッドステーキングトークン(LST)を組み合わせ、他のプールのトークンも資産の一部として保有できる設計のプール構造。
「信頼性の再定義」がDeFiの次章を左右する
Balancer V2の流出は、DeFi(分散型金融)の脆弱性を浮き彫りにした一方で、業界の成熟を促す分岐点となる可能性がある。
メリットとしては、この事件がセキュリティ基準の底上げを促す点が挙げられるだろう。
特に、「丸め誤差」などの微細な欠陥を検出する仕組みや、リスク発生時に自動制御が働く標準仕様の導入が進めば、Web3インフラ全体の信頼性は向上すると考えられる。
一方で、信頼回復には長期的な検証が必要となるだろう。
V2の欠陥が露呈したことで、「最新版V3も安全なのか」という疑念が残り、開発者任せのリスク管理構造が将来的な課題として意識されていく可能性が高い。
今後は、DeFiが安定して成長するために、「経済的なセーフティネット」を前提とした仕組みづくりが進むと考えられる。
また、DAO(分散型自律組織)が主体となってガバナンスの監査や法的責任の整理をどこまで進められるかが、長期的にDeFiエコシステムが信頼を取り戻せるかどうかを左右するだろう。
関連記事:
ガーデンファイナンス、約11Mドル超のハッキング被害 攻撃者に10%のホワイトハット報酬を提示
「Cetus」盗難事件でSuiが投票実施 1.62億ドル資金返還に注目集まる
スイ上のDeFi「ネモプロトコル」が攻撃被害 240万ドル相当流出で稼働停止
🚀 AI・Web3業界への転職を考えているあなたへ
「最先端技術に関わる仕事がしたい」「成長市場でキャリアを築きたい」そんな想いを抱いていませんか?
Plus Web3は、AI・Web3領域などテクノロジーに投資する企業の採用に特化したキャリア支援サービスです。
運営する株式会社プロタゴニストは、上場企業グループの安定した経営基盤のもと
10年以上のコンサルタント歴を持つ転職エージェントが
急成長する先端技術分野への転職を専門的にサポートしています。
こんな方におすすめです
▼成長産業であるAI・Web3業界で新しいキャリアを始めたい
▼「未経験だけど挑戦してみたい」という熱意がある
▼今のスキルを最先端技術分野でどう活かせるか相談したい
▼表に出ない優良企業の情報を知りたい
業界に精通したキャリアアドバイザーが、
あなたの経験・スキル・志向性を丁寧にヒアリングし、
最適な企業とポジションをマッチングします。
Web3企業
AI企業
この記事が気に入ったら
フォローしてね!