Market Maker Balancer Disusupi: Fakta Kunci Di Balik Peretasan Senilai $128 Juta

Protokol keuangan terdesentralisasi (DeFi) dan pembuat pasar Balancer baru-baru ini mengalami eksploitasi signifikan, mengakibatkan kerugian lebih dari $120 juta dalam aset digital.

Menurut perusahaan keamanan blockchain, total kerugian kini telah mencapai sekitar $128 juta, dengan penarikan berkelanjutan dari dompet penyerang masih dilaporkan.

Detail Serangan Balancer

Dalam sebuah postingan di platform media sosial X (sebelumnya Twitter), Balancer mengakui eksploitasi tersebut, menyatakan bahwa tim teknik dan keamanan mereka sedang menyelidiki pelanggaran dengan prioritas tinggi. Mereka menambahkan:

Chief Executive perusahaan, Deddy Lavid, menjelaskan bahwa pengurasan dana yang berkelanjutan kemungkinan berasal dari mekanisme kontrol akses yang dikompromikan dalam protokol, yang memungkinkan penyerang memanipulasi saldo secara langsung.

Pakar pasar Adi Flips memberikan wawasan lebih lanjut tentang eksploitasi tersebut, merinci bagaimana serangan itu menargetkan vault V2 Balancer dan pool likuiditas dengan mengeksploitasi kerentanan dalam interaksi kontrak pintar. 

Investigasi awal menunjukkan bahwa eksploitasi tersebut melibatkan kontrak yang disebarkan secara berbahaya yang memanipulasi panggilan vault selama inisialisasi pool. Manipulasi ini dimungkinkan karena otorisasi yang tidak tepat dan penanganan callback, yang memungkinkan penyerang menghindari pengamanan yang ada. 

Akibatnya, pertukaran tidak sah dan manipulasi saldo terjadi di seluruh pool yang saling terhubung, memungkinkan pengosongan aset dengan cepat dalam hitungan menit.

Serangan dimulai dengan transaksi penting di mainnet Ethereum (ETH), yang mengarahkan aset ke dompet baru yang dikendalikan oleh pelaku. Setelah ini, dana yang dicuri dikonsolidasikan, kemungkinan untuk pencucian melalui mixer atau jembatan.

Rincian Aset yang Dicuri

Desain protokol Balancer, yang memungkinkan interaksi berat di antara pool-nya, memperburuk dampak eksploitasi, menurut analisis Adi Flips. 

Dia menyatakan bahwa kerentanan serupa telah diamati pada pembuat pasar otomatis (AMM) di masa lalu, sering terkait dengan bagaimana mereka menangani token deflasi atau mengelola penyeimbangan kembali pool.

Yang penting, saat ini tidak ada bukti yang menunjukkan bahwa kunci privat telah dikompromikan. Pakar tersebut mencatat bahwa insiden ini tampaknya murni eksploitasi kontrak pintar.

Rincian aset yang dicuri termasuk lebih dari $70 juta dalam Ethereum, dengan kerugian tambahan sekitar $7 juta dari Base dan Sonic secara gabungan, dan sekitar $2 juta dari rantai lainnya. 

Menurut investigasi yang sedang berlangsung, perkiraan total pencurian aset utama, termasuk wrapped Ethereum (WETH), staked Ethereum (wstETH), osETH, frxETH, rsETH, dan rETH, adalah antara $116 juta dan $128 juta.

Gambar unggulan dari DALL-E, grafik dari TradingView.com