Balancer mengalami serangan Hacker senilai 128 juta dolar AS: rincian kerentanan smart contract terungkap

Kejadian keamanan DeFi kali ini benar-benar mengejutkan. Protokol penyedia likuiditas terkenal, Balancer, baru saja dibobol oleh hacker yang menguras lebih dari 1,28 juta dolar AS, dan saat ini dana masih terus-menerus dipindahkan dari dompet penyerang.

Bagaimana serangan terjadi

Menurut analisis tim keamanan on-chain, ini bukanlah skenario kebocoran kunci pribadi yang biasa, melainkan serangan murni terhadap kontrak pintar. Penyerang telah menerapkan kontrak jahat yang mulai beraksi pada tahap inisialisasi pool dana Balancer V2.

Secara khusus:

Inti Kerentanan: Kontrol akses yang tidak tepat + cacat dalam penanganan fungsi callback. Penyerang memanipulasi proses callback interaksi kontrak untuk menghindari mekanisme keamanan yang ada, langsung menciptakan “pesta arbitrase” antara kolam likuiditas yang saling terkait—menguras aset dalam beberapa menit.

Detail Teknis: Panggilan antar kontrak saat inisialisasi tidak dilakukan pemeriksaan otorisasi dengan baik, sehingga penyerang dapat memalsukan transaksi dan mengubah data saldo di dalam pool. Ini mengakibatkan serangkaian pertukaran token dan transfer dana yang tidak sah.

Rincian Aset yang Dikeruk

Hacker kali ini mendapatkan hasil yang cukup banyak:

• Rantai Ethereum: lebih dari 70 juta USD (terutama ETH dan turunannya, termasuk wETH, stETH, osETH, frxETH, rsETH, rETH, dll.)
• Base + Sonic: sekitar 7 juta USD
• Rantai lainnya: sekitar 200 juta dolar

Total sekitar 116 juta hingga 128 juta dolar AS.

Mengapa Balancer begitu mudah untuk dieksploitasi

Ciri-ciri desain protokol Balancer sebenarnya juga menjadi “kelemahan”-nya—interaksi antara kolam dirancang sangat erat, yang dalam keadaan normal dapat meningkatkan efisiensi modal, tetapi jika disalahgunakan dapat menjadi pemicu “reaksi berantai”.

CEO Deddy Lavid menyatakan bahwa serangan ini berasal dari kegagalan mekanisme kontrol akses, yang memungkinkan penyerang untuk langsung memanipulasi data saldo di dalam protokol. Kerentanan serupa juga muncul pada pembuat pasar otomatis lainnya, biasanya terkait dengan logika pengolahan token dan penyeimbangan kembali kolam.

Arah Selanjutnya

Dana yang dicuri telah dialihkan ke pencampur atau jembatan lintas rantai, jelas sedang dipersiapkan untuk “memutihkan”. Tim teknik dan keamanan Balancer telah memulai penyelidikan dengan prioritas tertinggi.

Peringatan: Peristiwa ini sekali lagi menunjukkan bahwa keamanan kontrak pintar DeFi selalu menjadi yang utama - seberapa canggih pun desain protokol, kelalaian dalam fungsi callback dapat membuat bandar kabur.