Balancer V2 Kehilangan $128 Juta dalam Peretasan DeFi Besar

Pada 3 November 2025, Balancer, salah satu platform keuangan terdesentralisasi (DeFi) tertua dan paling terpercaya, menjadi korban peretasan besar yang menguras lebih dari $128 juta dari penggunanya.

Peretasan dimulai pada pukul 7:48 AM UTC pada Senin pagi. Penyerang berhasil mencuri sekitar 6.587 WETH (senilai sekitar $24,5 juta), 6.851 osETH (senilai $26,9 juta), dan 4.260 wstETH (senilai $19,3 juta) bersama token lainnya. Dana yang dicuri dengan cepat dipindahkan ke dompet baru yang dikendalikan oleh peretas.

Bagaimana Serangan Bekerja

Peneliti keamanan menemukan bahwa peretas mengeksploitasi kelemahan kritis dalam kode kontrak pintar Balancer V2. Kerentanan tersebut ada dalam fungsi bernama "manageUserBalance," yang seharusnya mengontrol siapa yang dapat memindahkan dana dalam sistem. Menurut pakar keamanan blockchain, penyerang memanfaatkan pemeriksaan akses yang cacat yang membingungkan dua identitas pengirim berbeda, memungkinkan penarikan tidak sah.

Metode serangan sangat canggih. Peretas menerapkan kontrak pintar berbahaya dan membuat token palsu untuk memanipulasi harga token asli di kumpulan likuiditas Balancer. Mereka mengeksploitasi kesalahan pembulatan kecil dalam perhitungan sistem, menggunakan beberapa pertukaran dalam satu transaksi untuk memperbesar perbedaan kecil ini menjadi distorsi harga yang besar. Ini memungkinkan mereka menguras likuiditas dari kumpulan dengan nilai tukar yang sangat menguntungkan.

Sumber: @Balancer

Yang membuat serangan ini sangat mengkhawatirkan adalah tingkat perencanaan yang terlibat. Data blockchain menunjukkan penyerang mempersiapkan dengan hati-hati selama berbulan-bulan, mendanai akun mereka melalui Tornado Cash menggunakan setoran kecil 0,1 ETH untuk menyembunyikan jejak mereka. Pendekatan metodis ini menunjukkan pekerjaan peretas yang sangat terampil dan berpengalaman, mungkin dengan koneksi ke eksploitasi kripto sebelumnya.

Beberapa Blockchain Terkena Dampak Parah

Kerusakan tidak terbatas pada satu jaringan saja. Karena Balancer beroperasi di beberapa blockchain, peretasan menyebar dengan cepat. Ethereum mengalami kerugian terburuk sebesar $99 juta. Jaringan lain juga mengalami pukulan signifikan: Berachain kehilangan $12,86 juta, Arbitrum kehilangan $6,86 juta, Base kehilangan $3,9 juta, Sonic kehilangan $3,44 juta, Optimism kehilangan $1,58 juta, dan Polygon kehilangan $232.000.

Efek riak meluas melampaui Balancer sendiri. Beberapa proyek yang telah menyalin kode Balancer (disebut "fork") juga menjadi rentan terhadap serangan yang sama. Beets Finance melaporkan sekitar $3 juta dana yang terkena dampak, dan Beefy Finance menghentikan semua produk yang terhubung dengan Balancer V2 sebagai tindakan keamanan.

Dalam langkah kontroversial, validator Berachain sepenuhnya menghentikan jaringan blockchain mereka dan melaksanakan hard fork darurat untuk melindungi sekitar $12 juta dana pengguna. Keputusan ini memicu perdebatan di komunitas kripto, karena banyak yang percaya bahwa menghentikan dan membalikkan transaksi blockchain bertentangan dengan prinsip-prinsip inti desentralisasi.

Pertanyaan Audit

Mungkin aspek paling mengkhawatirkan dari peretasan ini adalah bahwa Balancer V2 telah diaudit lebih dari 10 kali oleh perusahaan keamanan terkemuka termasuk OpenZeppelin, Trail of Bits, Certora, dan ABDK. Audit ini berlangsung antara 2021 dan 2023, namun kerentanan tetap lolos.

Kegagalan ini telah menimbulkan pertanyaan serius tentang efektivitas audit keamanan di ruang DeFi. Suhail Kakar, seorang peneliti blockchain, mengatakan di media sosial: "Balancer telah melalui 10+ audit. Vault diaudit tiga kali terpisah oleh perusahaan berbeda tetap diretas sebesar $110 juta. Ruang ini perlu menerima bahwa 'diaudit oleh X' hampir tidak berarti apa-apa."

Pakar keamanan sekarang berpendapat bahwa audit kode statis tidak lagi cukup. Sebaliknya, platform DeFi membutuhkan sistem pemantauan real-time berkelanjutan yang dapat mendeteksi aktivitas mencurigakan sebelum dana dikuras.

Dampak Pasar dan Upaya Pemulihan

Pasar bereaksi cepat terhadap berita tersebut. Token asli BAL Balancer turun 11,1% menjadi $0,87, dan total nilai terkunci protokol anjlok dari $776 juta menjadi $406 juta dalam 24 jam. Arus keluar besar ini menunjukkan betapa cepatnya pengguna kehilangan kepercayaan ketika keamanan terganggu.

Tim Balancer merespons dengan menawarkan kesepakatan kepada penyerang: kembalikan semua dana yang dicuri dan simpan 20% sebagai "hadiah white hat" (senilai sekitar $25,6 juta). Tim memberi peretas 48 jam untuk menerima dan memperingatkan mereka akan bekerja sama dengan penegak hukum dan spesialis forensik blockchain jika dana tidak dikembalikan.

Ada beberapa keberhasilan dalam upaya pemulihan. StakeWise, salah satu protokol yang terkena dampak, berhasil memulihkan sekitar $19 juta dalam token osETH dan $1,7 juta dalam token osGNO dari eksploiter. Ini mewakili sekitar 73,5% dari osETH yang dicuri. Dana yang dipulihkan akan dikembalikan kepada pengguna yang terkena dampak berdasarkan saldo mereka sebelum serangan.

Gambaran yang Lebih Besar

Peretasan ini cocok dengan pola yang mengkhawatirkan untuk tahun 2025. Lebih dari $2 miliar dalam cryptocurrency dicuri oleh peretas hanya dalam paruh pertama tahun ini, dengan total kerugian sekarang melebihi $2,2 miliar. Sebagian besar dana ini telah dilacak ke peretas yang diduga terkait dengan pemerintah Korea Utara, yang menggunakan pencurian kripto sebagai sumber pendapatan utama untuk program senjatanya.

Meskipun tidak ada atribusi yang dikonfirmasi untuk peretasan Balancer, perencanaan dan eksekusi yang canggih memiliki kesamaan dengan serangan yang dilakukan oleh Lazarus Group yang terkenal, organisasi peretas yang disponsori negara Korea Utara yang dikenal karena persiapan ekstensif sebelum perampokan besar.

Balancer mengkonfirmasi bahwa hanya V2 Composable Stable Pools yang terpengaruh, dan bahwa Balancer V3 dan jenis kumpulan lainnya tetap aman. Tim sedang bekerja dengan peneliti keamanan untuk menghasilkan laporan post-mortem terperinci dan telah memperingatkan pengguna tentang pesan palsu yang beredar yang meniru komunikasi resmi Balancer.

Ketika Kepercayaan Runtuh

Eksploitasi Balancer berfungsi sebagai panggilan bangun untuk seluruh industri DeFi. Meskipun menjadi salah satu protokol yang paling mapan dan diaudit, ia masih menjadi korban serangan yang menghancurkan. Insiden ini membuktikan bahwa bahkan langkah-langkah keamanan yang ekstensif tidak menjamin perlindungan, dan bahwa ruang kripto harus berkembang melampaui praktik saat ini untuk tetap selangkah lebih maju dari peretas yang semakin canggih. Pertanyaannya sekarang adalah apakah industri akan belajar dari kegagalan ini dan menerapkan pemantauan real-time dan sistem keamanan berlapis yang diperlukan untuk mencegah pelanggaran besar berikutnya.