Peretasan Balancer: 5 risiko dan respons yang membentuk keamanan DeFi

Insiden tersebut, yang pertama kali terdeteksi sekitar 7:48 UTC pada 3 November 2025, telah memperbarui pengawasan terhadap desain pool yang dapat dikomposisi setelah peretasan besar Balancer menguras dana di berbagai rantai, menyoroti risiko operasional kripto yang terus ada.

Apa detail dan timeline eksploitasi Balancer V2?

Pada 3 November 2025 para penyelidik menandai arus keluar yang tidak normal dari Balancer V2 Composable Stable Pools.

Pemantauan awal oleh detektif on-chain seperti PeckShieldAlert dan Lookonchain mendeteksi pertukaran besar dan cepat; laporan gabungan kemudian menyebutkan kerugian sekitar $116,6 juta di Ethereum, Polygon dan Base. Dalam konteks ini, tim keamanan bergerak cepat untuk membatasi kerusakan lebih lanjut.

Tim menghentikan pool yang terkena dampak dan Balancer memposting pemberitahuan on-chain yang menawarkan bounty white-hat 20% untuk pengembalian penuh dalam jangka waktu terbatas.

Curve Finance dan forensik pihak ketiga melacak pergerakan dana saat responden mengoordinasikan pembekuan dan peringatan; langkah-langkah ini bertujuan untuk mempertajam pelacakan dan kerja sama pertukaran.

Simpan ID transaksi dan catatan on-chain saat melaporkan ke tim forensik; mereka mempercepat pelacakan dan kerja sama pertukaran.

Eksploitasi terdeteksi pada 7:48 UTC dan meningkat menjadi insiden lintas rantai, dengan perkiraan awal on-chain dikonfirmasi sekitar $116,6 juta.

Bagaimana Curve Finance merespons dan apa respons Curve Finance?

Curve Finance menerbitkan panduan pengembang setelah pencurian, memperingatkan bahwa komposabilitas dapat memperbesar kerentanan dan mendesak tim untuk menilai kembali primitif yang terkumpul.

Perlu dicatat bahwa platform tersebut merekomendasikan perubahan pada kontrol penerimaan dan logika akuntansi token sebagai prioritas segera.

Dalam postingan ringkasan yang ditautkan oleh penyelidik, Curve menyerukan audit segera terhadap logika token pool dan menandai interaksi yang mengasumsikan model penetapan harga yang tidak berubah.

Auditor independen didesak untuk mempertimbangkan batasan komposabilitas dan asumsi akuntansi lintas pool selama peninjauan; panduan tersebut membingkai ulang peristiwa Balancer sebagai demonstrasi praktis risiko sistemik.

Respons Curve membingkai ulang eksploitasi sebagai pelajaran desain kode dan integrasi, menekan tim protokol untuk memperkuat asumsi komposabilitas dan memperluas cakupan audit.

Opsi pemulihan apa yang ada dan bagaimana cara memulihkan aset kripto yang dicuri?

Langkah pemulihan segera Balancer adalah permohonan on-chain publik dan bounty bersyarat: tim menawarkan hingga 20% dari dana yang dipulihkan untuk mengembalikannya dalam jangka waktu tersebut, dan menandakan koordinasi dengan forensik blockchain dan penegak hukum.

Penyelidik merekomendasikan pemantauan aliran mixer dan menghubungi pertukaran terpusat utama untuk membekukan deposit terkait.

Langkah pemulihan praktis termasuk penandaan forensik cepat, pemberitahuan pertukaran, dan eskalasi hukum di mana jangkauan yurisdiksi ada. Beberapa tim melaporkan pemulihan sebagian dengan melacak dan menegosiasikan pengembalian; hasil bervariasi dan bergantung pada kerja sama pertukaran yang tepat waktu dan mitigasi kontrak pintar.

Tip: siapkan kit respons cepat yang menggabungkan snapshot transaksi, alamat kontrak yang terkena dampak, dan kontak hukum untuk mempercepat permintaan takedown pertukaran. Singkatnya: pemulihan bergantung pada pelacakan cepat, tindakan pertukaran dan — jika ditawarkan — bounty white-hat untuk mendorong pengembalian.

Praktik terbaik keamanan DeFi dan daftar periksa audit kontrak pintar mana yang harus diterapkan tim?

Pengembang harus memperluas audit tradisional untuk memasukkan skenario komposabilitas, interaksi multi-pool, dan manipulasi oracle harga. Dalam konteks ini, auditor dan insinyur harus mensimulasikan urutan panggilan yang dapat dieksekusi oleh rantai protokol dalam produksi.

Daftar periksa audit kontrak pintar yang praktis harus mengevaluasi kasus tepi mint/burn token pool, asumsi invarian, dan hook tanpa izin yang memungkinkan pertukaran atau penebusan yang tidak terduga.

Tim keamanan juga harus mensimulasikan arbitrase lintas pool dan menguji interaksi stres di bawah pergeseran likuiditas ekstrem, mengintegrasikan alat fuzzing pihak ketiga yang memodelkan urutan multi-pool.

Tambahkan tes eksplisit untuk underflow/overflow dengan token pool fraksional dan masukkan kasus stres komposabilitas ke dalam pengujian berkelanjutan. Singkatnya: adopsi pendekatan berlapis — audit ketat, tes stres komposabilitas, dan kesiapan operasional — untuk mengurangi kemungkinan bug kontrak tunggal menyebabkan kerugian multi-rantai.

Definisi cepat

• Composable Stable Pools: pool yang dirancang untuk digunakan oleh protokol lain sebagai aset atau jaminan.
• On-chain forensic tag: label blockchain yang diterapkan pada alamat mencurigakan untuk membantu pelacakan dan pembekuan pertukaran.
• White-hat bounty: tawaran untuk mengembalikan dana yang dicuri dengan imbalan persentase hadiah dan pertimbangan kekebalan.

Apa implikasi langsung untuk manajemen risiko keuangan terdesentralisasi?

Eksploitasi tersebut menggarisbawahi bagaimana asumsi desain menyebarkan risiko di seluruh protokol pada beberapa rantai; bahkan pool yang diaudit dapat dimanfaatkan dalam urutan baru oleh penyerang.

Perlu dicatat bahwa operator rantai mungkin menggunakan tindakan darurat untuk menahan penularan.

Validator Berachain menghentikan jaringan mereka untuk menahan aktivitas terkait, menggambarkan bagaimana penghentian darurat digunakan sebagai solusi sementara.

Tim forensik on-chain mengoordinasikan penandaan klaster dan jangkauan pertukaran untuk menghentikan penarikan tunai, sementara meja kustodi dan pertukaran meninjau pemantauan deposit untuk memblokir aliran yang tercemar.

Pemimpin industri mengatakan insiden tersebut akan mempercepat peningkatan buku pedoman operasional, termasuk jalur eskalasi pertukaran yang lebih cepat dan prosedur pengungkapan terkoordinasi.

Seorang pemimpin keamanan senior memberi tahu penyelidik bahwa "protokol harus menguji interaksi, bukan hanya kontrak," poin yang digemakan dalam debriefing pasca-insiden dan pelaporan oleh outlet mainstream seperti CoinDesk.

Curve Finance juga memperingatkan pengembang untuk "memeriksa matematika Anda, terutama di tempat 'sederhana', bersikap paranoid; buat pilihan desain yang sangat memaafkan kesalahan," menggarisbawahi pelajaran teknik praktis.

Insiden ini adalah pengingat bahwa manajemen risiko keuangan terdesentralisasi harus memperhitungkan perilaku yang muncul dari interaksi protokol dan eksposur multi-rantai.