Balancer kehilangan lebih dari 120 juta dana, apa yang harus Anda lakukan?

Saat ini, total dana yang dicuri mencapai 128.64 juta dolar AS, dan serangan masih berlangsung.

Penulis: 1912212.eth, Foresight News

Pada sore hari tanggal 3 November, protokol DeFi veteran Balancer mengalami serangan besar akibat celah keamanan. Penyerang memanipulasi kontrak pintar inti protokol, dan dalam hitungan jam berhasil menarik lebih dari 110 juta dolar AS aset kripto dari beberapa pool likuiditas dan memindahkannya dari vault Balancer ke dompet yang dikendalikan penyerang. Akibat insiden ini, harga token BAL turun ke sekitar 0,9 dolar AS, dengan penurunan 24 jam sebesar 8,64%.

Berdasarkan data dari debank, dana yang dicuri meliputi 99,85 juta dolar AS di ekosistem Ethereum, 7,95 juta dolar AS di jaringan Arbitrum, 3,94 juta dolar AS di ekosistem Base, 3,4 juta dolar AS di Sonic, dan 1,56 juta dolar AS di jaringan OP.

Hingga pukul 17:41 (UTC+8), hasil investigasi dari SlowMist menunjukkan total dana yang dicuri mencapai 128.64 juta dolar AS, termasuk tambahan 12,86 juta dolar AS dari Berachain.

Pihak resmi Berachain menyatakan telah menghentikan fungsi minting HONEY dan pool/vault BEX. Node validator mereka telah berkoordinasi untuk menghentikan operasi jaringan Berachain, agar tim inti dapat melakukan hard fork darurat guna mengatasi masalah celah keamanan BEX yang terkait dengan Balancer V2.

Pencurian dalam jumlah besar ini sempat membuat whale 0x0090 yang telah “tidur” selama 3 tahun segera bertindak, menarik dana dari Balancer.

Insiden ini tidak hanya mengungkap kelemahan kontrol akses pada arsitektur Balancer V2, tetapi juga berdampak pada beberapa jaringan blockchain, termasuk Ethereum mainnet, Base, Polygon, dan Sonic, sehingga total kerugian meningkat pesat.

Saat ini, serangan masih berlangsung.

Balancer didirikan pada tahun 2020 oleh Balancer Labs, merupakan protokol automated market maker (AMM) yang memungkinkan pengguna membuat pool likuiditas kustom dengan penyesuaian bobot berbagai aset. Berbeda dengan AMM sederhana seperti Uniswap, desain Balancer lebih menekankan fleksibilitas dan efisiensi modal, terutama pada versi V2 yang memperkenalkan “Boosted Pools” dan sistem Vault, yang bertujuan mengoptimalkan hasil dan mengurangi slippage. Pada puncak hype DeFi sebelumnya, TVL Balancer sempat mencapai 3.239 miliar dolar AS.

Saat ini, TVL protokol hanya sebesar 678,44 juta dolar AS.

Analisis menunjukkan, serangan kali ini berasal dari kegagalan kontrol akses pada kontrak vault: penyerang memanfaatkan mekanisme flash loan untuk memalsukan otorisasi dan menarik aset dari Boosted Pools. Secara spesifik, penyerang memanipulasi rate provider untuk melewati pemeriksaan otorisasi dan langsung mentransfer dana dari vault ke alamat eksternal 0xAa760D53541d8390074c61DEFeaba314675b8e3f. Hash transaksi on-chain (0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569) menunjukkan bahwa serangan ini menyelesaikan beberapa transfer dalam hitungan menit, melibatkan derivatif ETH seperti WETH, osETH, wstETH, frxETH, rsETH, dan rETH. Metode ini mirip dengan serangan DeFi sebelumnya, seperti celah kontrol akses pada Nomad Bridge tahun 2022, namun penerapan multi-chain Balancer memperbesar risiko dan menyebabkan kerugian lintas rantai.

Penyebab serangan ini dapat ditelusuri ke masalah keamanan historis Balancer. Protokol ini bukan pertama kalinya mengalami insiden:

• Pada Juni 2021, Balancer kehilangan 500 ribu dolar AS akibat celah kontrak pintar;
• Pada Agustus 2023, terjadi serangan DNS hijacking yang menyebabkan 270 ribu dolar AS keluar dari protokol.

Insiden kecil terbaru terjadi pada Oktober 2025, melibatkan manipulasi rate provider.

Semua insiden ini menunjukkan kelemahan protokol pada kontrol akses dan ketergantungan eksternal. Versi V2 yang diluncurkan sejak 2021 telah berjalan hampir 5 tahun, telah melalui berbagai audit, fuzz testing, dan verifikasi formal, namun tetap belum mampu sepenuhnya menutup celah keamanan.

Hasu, Direktur Strategi Flashbots dan Penasihat Strategi Lido, menyatakan, “Balancer v2 diluncurkan pada 2021 dan sejak itu menjadi salah satu kontrak pintar yang paling banyak diperhatikan dan sering di-fork. Ini sangat mengkhawatirkan. Setiap kali kontrak yang sudah berjalan lama seperti ini diserang, adopsi DeFi akan mundur 6 hingga 12 bulan (dan itu memang wajar).”

Saat ini, tim Balancer telah merilis pernyataan bahwa pool V2 mungkin memiliki celah keamanan, dan para insinyur serta tim keamanan sedang menyelidiki insiden ini.

Foresight News menyarankan pengguna segera menarik dana, membatalkan otorisasi (misalnya melalui Revoke.cash), dan menghindari tautan phishing yang mencurigakan.