Memanfaatkan Kumpulan Stabil yang Ditargetkan melalui Rounding Loophole
Balancer menerbitkan laporan post-mortem awal pada hari Rabu setelah eksploitasi menghabiskan sekitar $116 juta dari protokol keuangan terdesentralisasi. Pelanggaran tersebut mengenai kumpulan Stable Balancer v2 dan kumpulan Stable Composable v5, sementara jenis kumpulan lainnya tidak terpengaruh, kata laporan itu. Penyerang menggunakan campuran BatchSwaps—yang menggabungkan beberapa tindakan menjadi satu transaksi—bersama dengan pinjaman kilat dan kelemahan pada fungsi pembulatan kelas atas yang digunakan dalam pertukaran EXACT_OUT. Bug tersebut memungkinkan pengeksploitasi untuk memanipulasi penghitungan harga token dan mengekstrak likuiditas dari kumpulan stabil Balancer. Menurut tim Balancer, fungsi pembulatan dimaksudkan untuk membulatkan ke bawah ketika harga dimasukkan, namun penyerang menemukan cara untuk mengubah nilai pembulatan ini dalam kondisi tertentu. Dikombinasikan dengan BatchSwaps, hal ini memungkinkan mereka memindahkan token melalui Vault dalam beberapa transaksi cepat. “Dalam banyak kasus, dana yang dieksploitasi tetap berada di Vault sebagai saldo internal sebelum ditarik pada transaksi berikutnya,” kata laporan itu.
Pengambilan Investor
Respon Industri dan Upaya Pemulihan
Analis keamanan yakin para peretas telah mempersiapkan operasinya selama berbulan-bulan, mendanai serangan tersebut melalui deposit kecil sebesar 0,1 Ether melalui Tornado Cash untuk menutupi jejak mereka. Tim forensik Blockchain menggambarkan eksekusi tersebut sebagai “metodis,” yang menunjukkan bahwa para penyerang sangat memahami basis kode dan mekanisme likuiditas Balancer. Balancer mengatakan telah bekerja sama dengan mitra keamanan siber dan protokol DeFi lainnya untuk memulihkan atau membekukan dana yang dicuri. Sekitar 5,041 StakeWise Staked ETH (osETH), bernilai sekitar $19 juta, dan 13,495 token osGNO, bernilai hingga $2 juta, dilacak dan dibekukan melalui upaya kolaboratif. Protokol tersebut telah menghentikan sementara semua kumpulan yang terpengaruh dan menghentikan pembuatan kumpulan stabil baru hingga perbaikan permanen diterapkan. Pengembang mengatakan tidak ada versi lain dari kumpulan Balancer yang dikompromikan, dan likuiditas di kumpulan yang tidak terpengaruh tetap aman.
Bounty White Hat dan Investigasi yang Sedang Berlangsung
Balancer menawarkan hadiah 20% kepada setiap peretas etis atau penyerang itu sendiri karena mengembalikan aset yang dicuri. Pada saat publikasi, belum ada yang mengklaim hadiah atau memulai kontak dengan tim. Perusahaan keamanan Blockchain terus melacak aliran token yang dicuri di berbagai platform dan mixer DeFi. Tim juga berterima kasih kepada komunitas responden yang membantu mengatasi insiden tersebut, termasuk pengembang dari proyek DeFi besar yang berupaya memblokir penarikan lebih lanjut. “Kerja sama yang cepat di seluruh ekosistem mencegah kerugian yang lebih besar,” kata perwakilan Balancer. Serangan tersebut menyusul beberapa pelanggaran DeFi bernilai tinggi dalam beberapa bulan terakhir, memperbarui perdebatan mengenai keandalan audit kontrak pintar. Pengamat industri mempertanyakan apakah alat otomatis dapat mendeteksi kelemahan logika kompleks seperti eksploitasi pembulatan yang digunakan di sini.
Pengambilan Investor
Perhitungan Keamanan DeFi yang Lebih Luas
Eksploitasi Balancer terjadi di tengah meningkatnya tekanan pada platform DeFi untuk memperketat kontrol risiko setelah serangkaian pencurian skala besar. Menurut perusahaan analitik blockchain DefiLlama, kerugian akibat peretasan protokol telah melampaui $2,3 miliar pada tahun 2025, dengan eksploitasi yang mendukung pinjaman flash menyumbang porsi yang semakin besar. Insinyur Balancer mengatakan mereka sedang melakukan tinjauan kode lengkap dan mengoordinasikan audit pihak ketiga tambahan sebelum membuka kembali kumpulan yang terkena dampak. Tim menambahkan bahwa pelajaran dari serangan ini akan menjadi masukan bagi model perlindungan baru untuk semua rilis kumpulan di masa mendatang.