Dalam 5 tahun terjadi 6 insiden dengan kerugian lebih dari 100 millions, sejarah Balancer, protokol DeFi lama, yang sering menjadi sasaran peretas

Pembacaan Chainfeeds:

Bagi para pengamat, DeFi adalah sebuah eksperimen sosial yang baru dan menarik; bagi para partisipan, pencurian di DeFi adalah pelajaran mahal.

Sumber artikel:

TechFlow

Pendapat:

TechFlow: Pihak resmi Balancer dengan cepat merilis pengumuman setelah insiden terjadi, mengakui bahwa mereka telah menemukan celah yang dapat mempengaruhi pool V2, dan menyatakan bahwa tim engineering dan keamanan sedang menyelidiki insiden ini dengan prioritas tinggi. Mereka akan mengumumkan hasil verifikasi dan langkah selanjutnya setelah mendapatkan lebih banyak informasi. Pada saat yang sama, tim mengumumkan bersedia memberikan hadiah white hat sebesar 20% dari aset yang dicuri untuk mengembalikan dana, dengan batas waktu 48 jam. Tindakan ini cepat namun tetap terdengar formal dan belum mampu meredakan kecemasan komunitas. Bagi pemain lama DeFi, Balancer yang diretas hampir menjadi berita musiman. Sejak didirikan pada tahun 2020, protokol veteran yang pernah dipuji sebagai market maker fleksibel ini telah mengalami enam insiden keamanan dalam lima tahun, hampir setiap tahun mengalami serangan hacker. Pada Juni 2020, Balancer kehilangan sekitar 520 ribu dolar AS akibat celah penanganan token deflasi STA, di mana penyerang memanfaatkan fitur biaya transaksi otomatis burn 1% pada STA, meminjam 104 ribu ETH dari dYdX dan melakukan 24 kali transaksi berulang di dalam pool hingga STA di pool habis, hanya tersisa 1 wei, lalu menukar ETH, WBTC, LINK, dan SNX dengan harga yang sangat tidak seimbang. Insiden ini menjadi kegagalan besar pertama Balancer dan mengungkapkan fondasi rapuh protokol dalam desain kompatibilitas token yang kompleks. Dalam beberapa tahun berikutnya, Balancer terus mengalami insiden keamanan. Pada Maret 2023, Balancer terkena imbas dari serangan terhadap Euler Finance, kehilangan sekitar 11.9 juta dolar AS. Saat itu, Euler mengalami serangan flash loan sebesar 197 juta dolar AS, pool bb-e-USD milik Balancer memegang Euler eToken, sehingga dana yang terkait dipindahkan ke Euler, mencakup 65% dari TVL pool tersebut. Meskipun tim segera membekukan pool, kerugian tetap tidak dapat dihindari. Pada Agustus tahun yang sama, pool V2 mengalami serangan celah "pembulatan", di mana penyerang memanfaatkan deviasi presisi pada Boosted Pool, menyebabkan perhitungan suplai BPT menjadi tidak normal, dan menarik aset dengan kurs yang tidak wajar. Meskipun Balancer telah memperingatkan dan meminta pengguna menarik dana pada 22 Agustus, lima hari kemudian hacker tetap berhasil menyerang, menyebabkan kerugian sekitar 2.1 juta dolar AS. Pada bulan September, terjadi insiden pembajakan DNS, di mana hacker menggunakan teknik rekayasa sosial untuk menembus registrar EuroDNS, membajak domain balancer.fi, dan mengarahkan pengguna ke situs phishing, menggunakan kontrak jahat Angel Drainer untuk meminta otorisasi transfer. Meskipun insiden ini bukan karena celah smart contract, hal ini menunjukkan kerentanan protokol Web3 pada lapisan keamanan internet tradisional. Pada Juni 2024, proyek fork Balancer, Velocore, diretas dengan kerugian 6.8 juta dolar AS, akibat celah overflow pada desain pool CPMM, menyoroti risiko sistemik pada arsitektur ala Balancer. Serangan pada November 2025 ini adalah yang paling parah sejauh ini. Perusahaan keamanan Decurity dan Defimon Alerts menunjukkan bahwa celah berasal dari kesalahan logika kontrol akses pada fungsi manageUserBalance protokol V2. Dalam kondisi normal, sistem seharusnya memverifikasi apakah pemanggil adalah pemilik akun, namun kode secara keliru memverifikasi apakah msg.sender sama dengan parameter kustom op.sender milik pengguna. Karena op.sender dapat diinput secara bebas oleh pengguna, penyerang dapat memalsukan identitas, melewati verifikasi hak akses, dan menjalankan operasi WITHDRAW_INTERNAL untuk menarik aset dari akun mana pun secara langsung dari vault. Dengan kata lain, siapa pun bisa berpura-pura menjadi pemilik akun mana pun untuk menarik dana. Kesalahan kontrol akses yang sangat mendasar seperti ini muncul pada protokol matang yang telah berjalan lima tahun, sungguh mengejutkan. Jika melihat ke belakang, kompleksitas dan iterasi cepat Balancer menyebabkan batas keamanan semakin kabur — desain pool dengan bobot kustom hingga delapan token memang meningkatkan fleksibilitas, namun secara eksponensial memperbesar permukaan serangan. Seiring bertambahnya fitur dan akumulasi utang teknis, struktur kode Balancer seperti menara balok yang rapuh. Celah terbaru ini mengungkapkan bukan hanya kesalahan kontrak, tetapi juga kekhawatiran terhadap jalur perkembangan DeFi: di tengah narasi dan euforia modal, ketahanan kode tampaknya menjadi pertimbangan sekunder.