嘘はつけない――このBalancerの大惨事は、Curve戦争以来のDeFiで最も嫌になるような既視感かもしれない。

6つのチェーンにわたり数時間で1億1600万ドル以上が流出、ETHメインネットだけでも1億ドル近くが失われた。

最大の被害者は? wstETHやrETHをBALプールに預けることが安全な利殖だと思っていた、いわゆる「ブルーチップ」たちだ。Lidoは自らのポジションを引き揚げ、Berachainは文字通りチェーンを凍結し、修正のためにハードフォークを実行した。出血を止めるためにL1全体が停止するなんて、事態の深刻さがわかるだろう。

攻撃の手口? 古典的な内部犯行的な仕組みだ:プール初期化の際にBalancer V2のヴォールトの流れに悪意のあるコントラクトが紛れ込み、コールバックロジックをハイジャックして流動性スワップを偽装し、数分で残高を枯渇させた。

この映画は前に見た――2022年のFei/Rariへの攻撃とCurveのread-onlyリエントランシー混乱のリミックスだ。同じ構造:過度に抽象化されたヴォールト、甘いコールバックの前提条件、マルチシグ監督の欠如。

そして、なぜどの「実戦検証済み」DeFiプロトコルも、結局は一般投資家の資金で「実戦検証」することになるんだ?

人々はこれが外部からのハッキングだったのかと聞き続ける。
兄弟よ、このレベルのヴォールトアクセスでは、内部の鍵か、コードの盲点を筋肉の記憶のように知っている開発者かのどちらかだ。

毎回、パターンは同じ:資金消失、コントラクト停止、PR発表、「法執行機関と協力中」、そして沈黙。

❗一般投資家の君は、「監査済み」を「無敵」を意味するかのように扱うのをやめろ。
必要なのは信仰ではなく、防御確率の雲だ:
—相関のないコントラクトに預け入れを分散させろ。
—エントリーを時間ずらしにして、一つのヴォールトに長く留まりすぎないようにしろ。
—DeBankやRevoke.cashを使って承認を毎週取り消せ。
—LPポジションをテストウォレットに複製し、本番ウォレットで実行する前に異常を監視しろ。

何度も言っている:DeFiでは、君のウォレットは統計的に待ち伏せに遭っている。
もしこの後BALが値上がりしたとしても、覚えておけ:それはレバレッジがかかった健忘症だ。

そう、一つ疑問がある――いったいあと何個の「実戦検証済みプロトコル」が爆発する必要があるんだ? 我々がここでの真の利殖が……
一般投資家の信頼から来ていることを認めるまでには。