In 5 Jahren 6 Vorfälle mit Verlusten von über 100 Millionen: Die Geschichte der Hacks beim etablierten DeFi-Protokoll Balancer

Chainfeeds Zusammenfassung:

Für Außenstehende ist DeFi ein neuartiges gesellschaftliches Experiment; für Teilnehmer ist ein DeFi-Hack eine teure Lektion.

Quelle:

TechFlow

Meinung:

TechFlow: Balancer veröffentlichte nach dem Vorfall umgehend eine offizielle Mitteilung, in der das Unternehmen einräumte, eine Schwachstelle entdeckt zu haben, die die V2-Pools betreffen könnte. Gleichzeitig teilte das Engineering- und Sicherheitsteam mit, dass die Untersuchung des Vorfalls mit höchster Priorität laufe und dass nach Vorliegen weiterer Informationen die Ergebnisse und Folgemaßnahmen veröffentlicht würden. Zudem kündigte das Team an, eine White-Hat-Belohnung in Höhe von 20% der gestohlenen Vermögenswerte für die Rückführung der Gelder auszusetzen, mit einer Frist von 48 Stunden. Diese schnelle Reaktion wirkte dennoch formell und konnte die Unruhe in der Community nicht besänftigen. Für erfahrene DeFi-Nutzer ist ein Hack bei Balancer fast schon zu einer zyklischen Nachricht geworden. Seit seiner Gründung im Jahr 2020, als das Protokoll noch als flexibler Market Maker gefeiert wurde, hat Balancer in fünf Jahren insgesamt sechs Sicherheitsvorfälle erlebt – fast jedes Jahr einen Hack. Im Juni 2020 verlor Balancer aufgrund einer Schwachstelle im Umgang mit dem deflationären Token STA etwa 520.000 US-Dollar. Der Angreifer nutzte die Eigenschaft, dass bei jeder STA-Transaktion automatisch 1% Gebühr vernichtet wird, lieh sich 104.000 ETH von dYdX und führte im Pool 24 zyklische Transaktionen durch, bis der STA im Pool aufgebraucht war und nur noch 1 wei übrig blieb. Anschließend tauschte er ETH, WBTC, LINK und SNX zu extrem unausgewogenen Preisen aus dem Pool. Dieser Vorfall war Balancers erste große Niederlage und offenbarte die Schwächen des Protokolls im Hinblick auf die Kompatibilität mit komplexen Token-Designs. In den folgenden Jahren kam es immer wieder zu Sicherheitsvorfällen bei Balancer. Im März 2023 wurde Balancer durch den Angriff auf Euler Finance in Mitleidenschaft gezogen und verlor etwa 11,9 Millionen US-Dollar. Damals wurde Euler durch einen Flashloan-Angriff in Höhe von 197 Millionen US-Dollar getroffen, und Balancers bb-e-USD-Pool, der Euler eToken hielt, war betroffen – die Gelder wurden zu Euler transferiert und machten 65% des TVL des Pools aus. Obwohl das Team den Pool umgehend einfrieren ließ, konnten die Verluste nicht verhindert werden. Im August desselben Jahres wurde der V2-Pool durch eine "Rundungsfehler"-Schwachstelle angegriffen. Der Angreifer nutzte eine Präzisionsabweichung im Boosted Pool, um eine Anomalie in der Berechnung der BPT-Versorgung zu erzeugen und Vermögenswerte zu einem ungerechtfertigten Wechselkurs zu entnehmen. Obwohl Balancer bereits am 22. August eine Warnung herausgab und die Nutzer zur Abhebung aufforderte, gelang es dem Hacker fünf Tage später dennoch, den Angriff durchzuführen, wobei ein Schaden von etwa 2,1 Millionen US-Dollar entstand. Im September kam es zu einem DNS-Hijacking-Vorfall: Der Hacker kompromittierte den Registrar EuroDNS durch Social Engineering, übernahm die Domain balancer.fi und leitete Nutzer auf eine Phishing-Seite um, auf der sie durch den bösartigen Angel Drainer Smart Contract zur Autorisierung von Transfers verleitet wurden. Obwohl es sich hierbei nicht um eine Smart-Contract-Schwachstelle handelte, zeigte der Vorfall die Verwundbarkeit von Web3-Protokollen auf der Ebene der traditionellen Internetsicherheit. Im Juni 2024 wurde das Balancer-Fork-Projekt Velocore gehackt, wobei ein Schaden von 6,8 Millionen US-Dollar entstand. Ursache war eine Overflow-Schwachstelle im CPMM-Pool-Design, was das systemische Risiko der Balancer-Architektur unterstreicht. Der Angriff im November 2025 ist jedoch der bislang schwerwiegendste. Die Sicherheitsunternehmen Decurity und Defimon Alerts stellten fest, dass die Schwachstelle auf einen Fehler in der Zugriffskontrolllogik der Funktion manageUserBalance im V2-Protokoll zurückzuführen ist. Normalerweise sollte das System prüfen, ob der Aufrufer der Kontoinhaber ist, doch der Code überprüfte fälschlicherweise, ob msg.sender und der benutzerdefinierte Parameter op.sender übereinstimmen. Da op.sender beliebig vom Nutzer eingegeben werden kann, konnte der Angreifer eine Identität fälschen, die Berechtigungsprüfung umgehen und die Operation WITHDRAW_INTERNAL ausführen, um direkt Vermögenswerte aus dem Tresor beliebiger Konten zu entnehmen. Mit anderen Worten: Jeder konnte sich als beliebiger Kontoinhaber ausgeben und Geld abheben. Dass ein so grundlegender Fehler in der Zugriffskontrolle in einem seit fünf Jahren laufenden, ausgereiften Protokoll auftritt, ist schockierend. Ein Blick in die Vergangenheit zeigt, dass die Komplexität und schnelle Iteration von Balancer die Sicherheitsgrenzen zunehmend verwischt haben – das Design von Pools mit bis zu acht Token und individuellen Gewichtungen erhöht zwar die Flexibilität, vergrößert aber die Angriffsfläche exponentiell. Mit der Anhäufung von Funktionen und technischem Schuldenstand gleicht die Code-Struktur von Balancer einem fragilen Turm aus Bauklötzen. Die jüngste Schwachstelle offenbart nicht nur einen Fehler im Smart Contract, sondern auch eine besorgniserregende Entwicklung im DeFi-Bereich: Im Rausch von Narrativen und Kapital scheint die Robustheit des Codes zur Nebensache zu werden.