Paano hindi napigilan ng 11 audits ang $128 million na pag-hack sa Balancer na muling nagtakda ng mga panganib sa DeFi

Sa loob ng maraming taon, ang Balancer ay itinuturing na isa sa pinaka-maaasahang institusyon ng DeFi, isang protocol na nakaligtas sa ilang bear market, audit, at integrasyon nang walang iskandalo.

Gayunpaman, ang kredibilidad na iyon ay bumagsak noong Nobyembre 3, nang iulat ng blockchain security firm na PeckShield na ang Balancer at ilan sa mga fork nito ay kasalukuyang inaatake ng isang exploit na kumakalat sa maraming chain.

Sa loob lamang ng ilang oras, mahigit $128 milyon ang nawala, nag-iwan ng mga pools na naubos, mga protocol na na-freeze, at mga investor na nabigla.

Ipinakita ng datos ng PeckShield na ang protocol ng platform sa Ethereum ang nakaranas ng pinakamalaking pagkalugi na humigit-kumulang $100 milyon. Sinundan ito ng Berachain na may $12.9 milyon, habang ang Arbitrum, Base, at mas maliliit na fork tulad ng Sonic, Optimism, at Polygon ay nagtala ng mas mababa ngunit mahalagang pagnanakaw pa rin.

Total Funds Stolen from Balancer Hack (Source: Peckshield)

Habang nagaganap ang pag-drain, kinilala ng Balancer ang isang “potential exploit impacting Balancer v2 pools,” na nagsasabing ang kanilang engineering at security teams ay iniimbestigahan ang isyu bilang mataas na prayoridad.

Gayunpaman, kaunti lamang ang naitulong ng pagkilalang ito upang mapabagal ang mga withdrawal sa mga integrator at fork.

Pagsapit ng pagtatapos ng araw, ipinakita ng datos ng DeFiLlama na ang total value locked (TVL) ng Balancer ay bumaba ng 46% sa humigit-kumulang $422 milyon mula $770 milyon sa oras ng pag-uulat.

Balancer DeFi Hack (Source: DeFiLlama)

Ano ang nangyari?

Ipinakita ng paunang forensic mula sa blockchain security firm na Phalcon na tinarget ng attacker ang Balancer Pool Tokens (BPT), na kumakatawan sa bahagi ng user sa liquidity pools.

Ayon sa kumpanya, ang kahinaan ay nagmula sa paraan ng pagkalkula ng Balancer ng pool prices sa panahon ng batch swaps. Sa pamamagitan ng pagmamanipula ng lohika na iyon, na-distort ng exploiter ang internal price feed, na lumikha ng artipisyal na imbalance na nagbigay-daan sa kanila upang mag-withdraw ng tokens bago pa makapag-adjust ang sistema.

How Attacker Exploited Balancer Code (Source: Phalcon)

Sinabi ng crypto analyst na si Adi:

“Ang hindi tamang authorization at callback handling ay nagbigay-daan sa attacker na lampasan ang mga safeguard. Pinayagan nito ang hindi awtorisadong swaps o manipulasyon ng balanse sa mga magkakaugnay na pool, na nagresulta sa mabilisang pag-drain ng assets (sa loob ng ilang minuto).”

Samantala, ang composable vault architecture ng Balancer, na matagal nang pinupuri dahil sa flexibility nito, ay nagpalala ng pinsala. Dahil maaaring mag-refer ang mga vault sa isa’t isa nang dynamic, kumalat ang distortion sa mga magkakaugnay na pool.

Kapansin-pansin, itinuro ni Conor Grogan ng Coinbase na ang paraan ng attacker ay nagpapahiwatig ng propesyonal na kasanayan.

Napansin ni Grogan na ang address ng attacker ay orihinal na pinondohan ng 100 ETH mula sa Tornado Cash, na nagpapahiwatig na ang mga pondo ay malamang na nagmula sa mga naunang exploit.

“Hindi karaniwan na mag-park ng 100 ETH sa Tornado Cash para lang sa katuwaan,” aniya, na nagpapahiwatig na ang pattern ng transaksyon ay sumasalamin sa isang bihasa at aktibong hacker.

Pagguho ng tiwala sa DeFi

Bagama’t teknikal ang mismong exploit, ang epekto nito ay sikolohikal.

Matagal nang itinuturing ang Balancer bilang konserbatibong lugar para sa liquidity providers, isang lugar upang iparada ang assets at kumita ng mahinahon at tuloy-tuloy na yield. Ang tagal nito, mga audit, at integrasyon sa mga nangungunang DeFi platform ay nagbigay ng ilusyon na ang katatagan ay katumbas ng kaligtasan. Ang breach noong Nobyembre 3 ay agad na winasak ang naratibong iyon.

Tinawag ito ni Lefteris Karapetsas, tagapagtatag ng crypto platform na Rotki, bilang “pagguho ng tiwala” at hindi lang basta pag-hack ng DeFi platform.

Kanyang ipinahayag na:

“Isang protocol na live mula 2020, na-audit at malawakang ginagamit, ay maaari pa ring makaranas ng halos kabuuang pagkawala ng TVL. Isa itong red flag para sa sinumang naniniwalang ‘stable’ ang DeFi.”

Ang reaksiyong iyon ay sumasalamin sa mas malawak na damdamin. Sa isang market na pinahahalagahan ang self-custody at verifiable code, ang kumpiyansa ay tahimik na pumalit sa tiwala bilang nakatagong pundasyon ng DeFi.

Ipinakita ng kabiguan ng Balancer na kahit ang mga sistemang matematikal na tunog ay mahina sa hindi inaasahang komplikasyon.

Sinabi ni Robdog, ang pseudonymous developer ng Cork Protocol:

“Habang ang mga pundasyon ng [DeFi] ay nagiging mas ligtas, ang malungkot na katotohanan ay ang panganib ng smart contract ay nasa paligid natin.”

Mga implikasyon para sa DeFi

Ang Balancer exploit ay tumama sa isang sensitibong panahon para sa decentralized finance, na sumira sa isang maikling panahon ng katahimikan. Noong Oktubre, bumaba sa pinakamababa sa taon ang kabuuang pagkalugi mula sa mga hack na $18 milyon lamang, ayon sa PeckShield.

Gayunpaman, sa isang insidente lamang noong Nobyembre, lumampas na agad ang bilang sa $120 milyon, na ginagawa itong ikatlong pinakamasamang buwan para sa mga DeFi breach sa 2025.

Monthly DeFi Hacks Losses in 2025 (Source: DeFiLlama)

Samantala, itinatampok ng atakeng ito ang isang pangunahing kabalintunaan sa puso ng DeFi: ang composability, ang tampok na nagpapahintulot sa mga protocol na mag-ugnay at magtayo sa isa’t isa, ay nagpapalakas din ng systemic risk.

Kapag ang isang core protocol tulad ng Balancer ay nasira, ang epekto ay agad na kumakalat sa mga network na umaasa rito.

Sa Berachain, itinigil ng mga validator ang block production upang pigilan ang pagkalat. Sumunod ang ibang mga protocol sa pansamantalang suspensyon ng lending at bridging functions.

Ang mga mabilis na reaksiyong ito ay naglimita ng pagkalugi, ngunit binigyang-diin din nito ang mas malawak na katotohanan na ang DeFi ay gumagana nang walang mga mekanismo ng koordinasyon na nagpapastabilize sa tradisyonal na pananalapi.

Sa espasyong ito, walang mga regulator, central banks, o mandated backstops. Sa halip, ang crisis management ay lubos na umaasa sa mga developer at auditor na nagtutulungan, kadalasan sa loob ng ilang minuto, upang mapigilan ang pinsala.

Sa pag-iisip dito, sinabi ni Robdog:

[Ito ay] isang magandang paalala kung bakit kailangan nating bumuo ng mas mahusay na risk management infrastructure.”

Higit pa sa agarang teknikal na pagkalugi, ang pinsala sa tiwala ay maaaring mas mahirap ayusin.

Bawat malaking exploit ay nagpapahina ng kumpiyansa sa pangakong self-regulating code ng DeFi. Para sa mga institutional investor na nag-iisip na pumasok sa industriya, ang paulit-ulit na kabiguan ay nagpapahiwatig na nananatiling eksperimento ang decentralized markets.

Napansin ni Karapetsas:

“Walang seryosong kapital ang maglalaan sa mga sistemang ganito kahina.”

Ang persepsiyong iyon ay humuhubog na ng polisiya sa mga pangunahing ekonomiya sa buong mundo.

Itinampok ni Suhail Kakar, isang kilalang web3 developer, ang isang nakakalungkot na katotohanan matapos ang Balancer exploit: kahit maraming, high-profile na security audit ay hindi makakatiyak ng kaligtasan sa DeFi.

Tulad ng kanyang nabanggit, sumailalim ang Balancer sa mahigit sampung audit, na ang core vault contract nito ay nirepaso ng ilang independent firms; gayunpaman, nagkaroon pa rin ng malaking breach ang protocol.

Ang punto ni Kakar ay nagpapakita ng lumalaking damdamin sa industriya na ang “audited by X” ay hindi na tanda ng pagiging infallible; sa halip, ito ay sumasalamin sa likas na komplikasyon at hindi inaasahang panganib ng decentralized systems kung saan kahit ang well-tested code ay maaaring maglaman ng hindi nakikitang kahinaan.

Balancer V2 Audits (Source: Balancer docs via Suhail Kakar)

Ang mga awtoridad sa United States ay bumubuo ng mga framework na magpapakilala ng regulasyon sa mga DeFi protocol. Inaasahan ng mga tagamasid ng industriya na mapapabilis ng Balancer exploit ang mga pagsisikap na ito, habang ang mga policymaker ay humaharap sa lumalaking panganib ng patuloy na integrasyon sa pagitan ng crypto at ng tradisyonal na industriya ng pananalapi.