Dari Balancer ke Berachain: Saat Chain Menekan Tombol Jeda

Sektor DeFi kembali menjadi pusat perhatian.

Pada 3 November (UTC), sejumlah proyek yang menerapkan arsitektur Balancer V2 terkena serangan canggih, dengan total kerugian melampaui $120 juta. Insiden ini memengaruhi Ethereum mainnet, Arbitrum, Sonic, Berachain, dan beberapa chain lainnya, sehingga menjadi salah satu kasus keamanan terbesar di industri sejak eksploitasi Euler Finance dan Curve Finance.

Analisis awal BlockSec menyebut insiden ini sebagai “eksploitasi manipulasi harga berkompleksitas tinggi.” Penyerang memanipulasi kalkulasi harga BPT (Balancer Pool Token), memanfaatkan kesalahan pembulatan invariant untuk menciptakan distorsi harga dan melakukan arbitrase berulang dalam satu proses swap.

Misalnya, serangan di Arbitrum terjadi dalam tiga tahap:

• Penyerang terlebih dahulu menukar BPT ke aset dasar, mengatur saldo cbETH secara presisi hingga ambang pembulatan (sekitar 9 token), sehingga presisi kalkulasi untuk langkah berikutnya berkurang;
• Lalu, mereka menukar jumlah tertentu (=8 token) antara wstETH dan cbETH. Pembulatan ke bawah saat penyesuaian skala sedikit menurunkan Δx yang dihitung, sehingga Δy diremehkan dan pool invariant D turun, menekan harga teoritis BPT;
• Pada akhirnya, penyerang membalik swap, mengubah aset dasar kembali menjadi BPT dan meraup keuntungan dari harga yang sengaja ditekan.

Pada intinya, ini adalah eksploitasi dengan tingkat presisi tinggi pada persimpangan antara matematika dan kode.

Balancer telah mengonfirmasi eksploitasi pada V2 Composable Stable Pools. Tim bekerja sama dengan peneliti keamanan terdepan untuk investigasi menyeluruh dan berkomitmen menerbitkan laporan pasca insiden lengkap. Semua pool yang terkena dampak dan dapat dipause telah dibekukan secara darurat dan prosedur pemulihan telah dimulai. Kerentanan hanya terjadi pada V2 Composable Stable Pools dan tidak memengaruhi Balancer V3 maupun pool lainnya.

Pasca eksploitasi Balancer V2, proyek yang fork arsitektur ini mengalami gejolak besar. Menurut DeFiLlama, per 4 November (UTC), total nilai terkunci di proyek terkait turun menjadi sekitar $49,34 juta—penurunan 22,88% dalam satu hari. BEX, DEX asli Berachain, mencatat penurunan TVL sebesar 26,4% menjadi $40,27 juta, tetap mencakup 81,6% ekosistem. Namun, gangguan chain dan likuiditas yang dibekukan terus memicu arus keluar modal. Beets DEX bahkan lebih parah, dengan TVL turun drastis 75,85% dalam 24 jam dan hampir 79% selama sepekan.

DEX lain berbasis arsitektur Balancer juga mengalami penarikan dana besar-besaran: PHUX turun 26,8% dalam sehari, Jellyverse turun 15,5%, dan Gaming DEX jatuh 89,3%, dengan likuiditas hampir habis. Bahkan platform menengah dan kecil yang tidak terdampak langsung—termasuk KLEX Finance, Value Liquid, dan Sobal—umumnya mengalami arus keluar 5%–20%.

Reaksi Berantai: Berachain Lakukan Hard Fork Darurat

Kerentanan Balancer V2 dengan cepat memicu reaksi berantai lebih luas.

Berachain, blockchain publik baru berbasis Cosmos SDK, diserang hanya beberapa jam karena BEX juga memakai kontrak Balancer V2. Setelah menemukan anomali, yayasan segera mengumumkan penghentian total chain.

Penyerang mengkompromikan aset di USDe Tripool BEX dan beberapa pool likuiditas lain, dengan total kerugian sekitar $12 juta. Eksploitasi dengan logika yang sama seperti pada Balancer digunakan, dengan berbagai interaksi smart contract untuk menguras dana. Karena sebagian aset terdampak merupakan token non-native, tim harus melakukan pengembalian blok untuk pelacakan dan restorasi.

Sejumlah protokol ekosistem Berachain—Ethena, Relay, dan HONEY—juga mengambil langkah defensif:

• Melarang transfer USDe lintas chain;
• Menangguhkan setoran di pasar lending;
• Menunda minting dan penukaran HONEY;
• Menginformasikan centralized exchange untuk memblokir alamat mencurigakan.

Yayasan Berachain menyatakan bahwa penangguhan jaringan sudah direncanakan dan operasi akan segera dilanjutkan. Eksploitasi Balancer terutama berdampak pada pool Ethena/Honey lewat transaksi smart contract kompleks. Karena aset non-native (bukan hanya BERA) terdampak, pengembalian blok dan pemulihan memerlukan lebih dari hard fork sederhana, sehingga jaringan dipause menunggu solusi menyeluruh.

Pada 4 November (UTC), Yayasan Berachain melaporkan binary hard fork telah didistribusikan dan sejumlah node validator di-upgrade. Sebelum blockchain aktif dan blok baru diproduksi, mereka memastikan mitra infrastruktur utama (seperti liquidation oracle) telah memperbarui endpoint RPC mereka. Ini menjadi hambatan utama untuk melanjutkan aktivitas on-chain. Setelah layanan inti RPC tersedia, tim akan berkoordinasi dengan cross-chain bridge, mitra CEX, dan penyedia kustodian untuk melanjutkan operasional.

Sementara itu, operator bot MEV Berachain menghubungi yayasan usai chain dihentikan, mengklaim telah mengekstrak dana secara white-hat (peretas etis) dan mengirim pesan on-chain, menawarkan pre-sign transaksi agar dana dikembalikan begitu chain aktif lagi.

Keamanan versus Desentralisasi?

Co-founder Berachain, Smokey The Bera, menanggapi kekhawatiran soal sentralisasi dengan mengatakan, “Kami tahu ini kontroversial, namun saat sekitar $12 juta aset pengguna terancam, melindungi pengguna adalah satu-satunya pilihan.”

Ia mengakui bahwa Berachain belum mencapai desentralisasi level Ethereum, dan koordinasi validator lebih menyerupai koordinasi darurat daripada jaringan konsensus otomatis. Bahkan, node on-chain dihentikan dalam waktu satu jam pasca eksploitasi, menunjukkan efisiensi terpusat sekaligus mengungkap konsentrasi tata kelola.

Respons komunitas sangat terbelah.

Pendukung menilai tim membuktikan komitmen pada keamanan pengguna—bentuk “desentralisasi pragmatis.” Kritikus menilai langkah ini melanggar prinsip “Code is Law” dan merusak karakter tidak dapat diubah on-chain.

Investigator on-chain ZachXBT berkomentar, “Saat dana pengguna terancam, keputusan sulit ini adalah yang benar.”

Namun, beberapa developer menilai tegas: “Jika blockchain bisa dipause manual kapan saja, apa bedanya dengan keuangan tradisional?”

Bayang-Bayang Peristiwa DAO Hack Kembali Menghantui

Krisis ini mengingatkan banyak veteran pada insiden Ethereum DAO tahun 2016, ketika Ethereum melakukan pengembalian transaksi lewat hard fork demi memulihkan $50 juta dana yang dicuri—yang kemudian memecah komunitas menjadi Ethereum (ETH) dan Ethereum Classic (ETC).

Sembilan tahun kemudian, dilema serupa kembali muncul.

Kali ini, subjeknya adalah chain publik yang masih baru, belum sepenuhnya terdesentralisasi atau memiliki konsensus global.

Intervensi Berachain mungkin membatasi kerugian, namun sekali lagi memicu debat apakah blockchain benar-benar bisa otonom.

Dalam banyak hal, episode ini menjadi refleksi bagi DeFi: keamanan, efisiensi, dan desentralisasi—keseimbangan sempurna belum pernah tercapai.

Ketika peretas bisa mencuri puluhan juta hanya dalam hitungan detik, idealisme sering kali kalah oleh kenyataan.

Tim Balancer tengah bekerja sama dengan peneliti keamanan terdepan, akan menerbitkan laporan pasca insiden, dan memperingatkan pengguna agar waspada terhadap pesan penipuan dari pihak palsu.

Berachain diperkirakan secara bertahap akan memulihkan produksi blok dan fungsi transaksi usai hard fork.

Namun, memulihkan kepercayaan pengguna jauh lebih sulit daripada memperbaiki kode. Bagi chain publik baru, penghentian jaringan mungkin hanya solusi jangka pendek yang berisiko berdampak jangka panjang—pengguna bisa meragukan desentralisasi chain, dan developer khawatir pada sifat tidak dapat diubah chain.

DeFi mungkin sedang mendefinisikan ulang desentralisasi—bukan sebagai laissez-faire mutlak, melainkan konsensus minimum yang dicapai di saat krisis.

Pernyataan:

1. Artikel ini merupakan reprint dari [Foresight News] dan hak cipta sepenuhnya milik penulis asli [ChandlerZ, Foresight News]. Untuk pertanyaan terkait reprint ini, silakan hubungi tim Gate Learn untuk penanganan sesuai prosedur yang berlaku.
2. Disclaimer: Pandangan dan opini dalam artikel ini sepenuhnya milik penulis dan tidak merupakan saran investasi.
3. Versi bahasa lain diterjemahkan oleh tim Gate Learn. Kecuali Gate secara eksplisit disebutkan, dilarang menyalin, mendistribusikan, atau melakukan plagiarisme terhadap artikel terjemahan.