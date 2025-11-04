BursaDEX+
$116 Juta Hilang: Protokol DeFi Balancer Terkena Eksploitasi Bencana

2025/11/04 00:39
Poin-Poin Penting

  • Platform DEX dan AMM Balancer telah mengalami eksploitasi pada vault token utamanya, mengakibatkan penyerang menguras aset senilai $116 juta di seluruh pool Ether, Sonic, Polygon, dan Base. Dana tersebut kemudian dipindahkan ke alamat yang baru dibuat.
  • Eksploitasi terjadi pada kontrak pintar inti Balancer v2, yang memiliki kontrol akses yang cacat, memungkinkan peretas mengirim perintah tanpa izin untuk menarik dana. Sejauh ini, 6.850 OSETH, 6.590 WETH, dan 4.260 wSTETH telah dikuras, dengan platform lain yang digunakan pada kontrak pintar Balancer berisiko.
  • Balancer telah menawarkan 20% dari aset yang dicuri sebagai hadiah white hat jika jumlah penuh dikembalikan dalam waktu 48 jam. Tim sedang bekerja sama dengan penegak hukum dan penyelidik blockchain untuk mengidentifikasi pelakunya.

Balancer, platform bursa terdesentralisasi (DEX) dan pembuat pasar otomatis (AMM) berbasis Ethereum yang populer, tampaknya telah terkena eksploitasi besar, dengan lebih dari $116 juta dalam berbagai aset digital dikuras ke dompet yang baru dibuat.

Menurut data Etherscan, protokol DeFi tersebut dieksploitasi sebesar $70,9 juta dalam berbagai Ether yang di-staking secara likuid, yang kemudian ditransfer ke dompet baru melalui tiga transaksi. 

Serangan pada pool Balancer V2 mengakibatkan transfer 6.850 StakeWise Staked ETH (OSETH), 6.590 Wrapped Ether (WETH), dan 4.260 Lido wstETH (wSTETH), kata perusahaan intelijen blockchain Nansen dalam postingan X pada hari Senin. Eksploitasi tersebut juga mempengaruhi pool Sonic, Polygon, dan Base milik DEX, menguras aset dari mereka.

DEX Balancer Mengalami Peretasan $116 Juta karena Kontrak Pintar Inti yang Mengendalikan Vault Aset Utama Menjadi Target Penyerang

Tim Balancer mengkonfirmasi serangan tersebut di media sosial, menyatakan bahwa mereka mengetahui adanya "potensi eksploitasi" yang berdampak pada vault Balancer v2, dan tim teknik dan keamanan mereka "menyelidiki dengan prioritas tinggi".

Analis on-chain percaya eksploitasi berasal dari kontrak pintar yang memiliki kontrol akses yang cacat dalam fungsi "manageUserBalance" mereka, memungkinkan penyerang mengirim perintah untuk menarik dana. Kerentanan tersebut adalah cacat logika dalam operasi "validateUserBalanceOp" kontrak, yang memeriksa "msg.sender" terhadap "op.sender" yang disediakan pengguna, yang memungkinkan penarikan dana tidak sah melalui operasi "UserBalanceOpKind.WITHDRAW_INTERNAL".

Sederhananya, cacat ini berarti penyerang dapat memicu penarikan saldo internal dari kontrak pintar Balancer tanpa memerlukan izin yang tepat. Yang membuat masalah ini lebih mencolok adalah bahwa vault tersebut adalah kontrak pintar inti Balancer, di mana semua token dari setiap pool disimpan. Alih-alih setiap pool mengelola dananya sendiri, DEX merutekan semua token melalui satu kontrak.

Desain yang diluncurkan dengan Balancer v2 ini memisahkan akuntansi token dari logika pool – bagaimana swap, penambahan likuiditas, dan penarikan bekerja. Ini membuat pool secara komparatif lebih kecil, lebih sederhana, dan lebih aman untuk dibangun. Siapa pun dapat mencolokkan desain pool baru pada jaringan tanpa harus membuat DEX baru secara keseluruhan.

Namun, eksploitasi tersebut juga mempengaruhi layanan yang dibangun di atas Balancer v2, dengan DEX fork seperti Beets Finance melaporkan kerugian lebih dari $3 juta dalam berbagai aset. Menurut DefiLlama, lebih dari $60 juta terkunci pada berbagai layanan DeFi yang dibangun di atas Balancer, dan dana tersebut berisiko dikuras jika protokol belum mengadopsi langkah-langkah keamanan tambahan untuk mengurangi risiko jika kontrak vault utama dieksploitasi.

Ini adalah Eksploitasi Ketiga dalam 5 Tahun yang Terjadi pada Balancer

Ini juga merupakan pelanggaran keamanan ketiga yang diketahui untuk bursa tersebut, setelah insiden serupa pada 2021 dan 2023, yang menghabiskan jutaan. Serangan Juni 2021 melihat Balancer diretas sebesar $500.000 dalam Ether dan aset lainnya sebagai bagian dari serangan pinjaman kilat berdasarkan token deflasi Statera (STA), yang melihat 1% dari setiap transaksi secara otomatis dibakar. Dua tahun kemudian, hampir $1 juta dalam stablecoin dicuri hanya seminggu setelah protokol mengungkapkan "kerentanan kritis" terkait dengan pool likuiditasnya.

Alamat dompet eksploiter telah mulai mengkonsolidasikan aset yang dicuri, menimbulkan kekhawatiran tentang pencucian melalui mixer token atau jembatan lintas rantai.

Balancer Menawarkan 20% dari Aset yang Dicuri sebagai Hadiah jika Peretas Mengembalikan Dana dalam Waktu 48 Jam

Dalam upaya untuk memulihkan dana yang hilang, tim Balancer menawarkan hingga 20% dari dana yang dicuri sebagai hadiah white hat kepada penyerang jika mereka mengembalikan jumlah penuh segera. Namun, bursa tersebut telah memperingatkan bahwa jika dana tidak dikembalikan dalam 48 jam ke depan, maka mereka akan terus bekerja dengan spesialis forensik blockchain dan lembaga penegak hukum untuk mengidentifikasi pelakunya.

Sebuah pesan yang disertakan dalam catatan transaksi on-chain mengatakan bahwa Balancer dan mitranya "yakin" bahwa mereka akan mengidentifikasi penyerang dari metadata log akses yang dikumpulkan oleh infrastruktur mereka, yang menunjukkan koneksi dari "set yang ditentukan" alamat IP/ASN dan stempel waktu masuk terkait yang berkorelasi dengan aktivitas transaksi.

BAL, token asli Balancer, telah turun 4,73% dalam 24 jam menjadi $0,9436.

Postingan $116 Juta Hilang: Protokol DeFi Balancer Terkena Eksploitasi Katastrofik pertama kali muncul di BiteMyCoin.

