Peretas mencuri lebih dari $120 juta dari protokol kripto Balancer DeFi

Protokol Balancer mengumumkan bahwa peretas telah menargetkan kumpulan v2-nya, dengan kerugian diperkirakan mencapai lebih dari $128 juta.

Balancer adalah protokol keuangan terdesentralisasi (DeFi) yang dibangun di atas blockchain Ethereum sebagai pembuat pasar otomatis dan lapisan infrastruktur likuiditas.

Ini menyediakan kumpulan fleksibel dengan campuran token khusus, memungkinkan pengguna untuk menyetor aset, mendapatkan biaya, dan membiarkan pedagang menukar aset, dan ini diatur oleh token BAL, yang memiliki kapitalisasi pasar sebesar $65 juta tepat sebelum kejadian.

Balancer belum membagikan banyak detail tentang insiden tersebut namun memperingatkan pengguna untuk berhati-hati terhadap potensi penipuan atau upaya phishing.

Balancer hari ini mengonfirmasi bahwa eksploitasi memengaruhi Kumpulan Stabil Kompos V2 pada pukul 07.48 UTC dan bahwa masalah tersebut tidak berdampak pada kumpulan Penyeimbang lainnya, termasuk V3.

“Tim kami bekerja sama dengan peneliti keamanan terkemuka untuk memahami masalah ini,” kata perusahaan itu dalam pembaruannya beberapa jam lalu.

Menurut Keamanan GoPlus, eksploitasi Balancer V2 berasal dari kesalahan pembulatan presisi dalam perhitungan swap Vault.

Setiap operasi pertukaran membulatkan jumlah token, sehingga menciptakan perbedaan kecil yang dapat dieksploitasi berulang kali oleh penyerang. Dengan merangkai beberapa swap melalui fungsi batchSwap, kerugian pembulatan tersebut bertambah menjadi distorsi harga yang besar.

Namun, pengguna lain yang mengaku mengetahui apa yang terjadi mengaitkan peretasan tersebut dengan otorisasi dan penanganan panggilan balik yang tidak tepat di dalam brankas V2 Balancer.

Menurut Aditya Bajaj, kontrak yang disebarkan secara jahat memanipulasi panggilan vault selama inisialisasi kumpulan, secara efektif melewati pengamanan dan memungkinkan pertukaran tidak sah dan manipulasi keseimbangan di seluruh kumpulan yang saling berhubungan.

Meskipun belum ada kesepakatan mengenai metode serangan, Balancer berjanji untuk memberikan rincian lebih lanjut tentang peretasan tersebut “dan pemeriksaan mayat lengkap sesegera mungkin.”

Perlu dicatat bahwa Balancer V2 telah diaudit sebanyak 11 kali sejak tahun 2021, dengan cakupan pemeriksaan yang berbeda-beda.

Mencoba mengelabui peretas

Sementara itu, tampaknya seseorang mencoba memanfaatkan situasi ini dengan menyamar sebagai Balancer dan menawarkan “hadiah topi putih” kepada peretas sebesar 20% dari jumlah yang dicuri jika mereka setuju untuk mengembalikan sisa dana ke alamat tertentu.

Pesan phishing ditulis dengan baik dan memeriksa triknya agar terlihat kredibel, termasuk hadiah, tenggat waktu, dan ancaman, semuanya merupakan bagian dari negosiasi yang mendesak untuk segera bekerja sama.

Jika peretas menolak kesepakatan tersebut, penipu yang menyamar sebagai Balancer mengancam akan menggunakan semua informasi yang mereka peroleh dari pakar forensik blockchain, lembaga penegak hukum, dan mitra regulasi untuk mengidentifikasi dan mengadili penyerang.

“Mitra kami memiliki tingkat keyakinan yang tinggi bahwa Anda akan diidentifikasi dari metadata log akses yang dikumpulkan oleh infrastruktur kami, yang menunjukkan koneksi dari serangkaian alamat IP/ASN yang ditentukan dan stempel waktu masuk terkait yang berkorelasi dengan aktivitas transaksi dalam rantai,” pesan penipuan tersebut menyimpulkan.

Peretasan Balancer adalah salah satu pencurian mata uang kripto terbesar pada tahun 2025. Meskipun tidak ada atribusi, ancaman terbesar bagi entitas DeFi adalah peretas Korea Utara.

Pada tanggal 3 Oktober, jumlah mata uang kripto yang terkait dengan pencurian di Korea Utara tahun ini telah melebihi $2 miliar, dengan serangan terbesar sejauh ini adalah serangan Bybit pada bulan Februari, ketika mereka mencuri mata uang kripto senilai $1,5 miliar.