Penulis: David, Deep Tide TechFlow
Kesialan datang bertubi-tubi, para peretas selalu memilih saat pasar turun.
Dalam kondisi pasar kripto yang lesu belakangan ini, protokol DeFi lama kembali mengalami pukulan berat.
Pada 3 November, data on-chain menunjukkan bahwa protokol Balancer diduga mengalami serangan peretas. Sekitar 70,9 juta dolar aset dipindahkan ke dompet baru, termasuk 6.850 osETH, 6.590 WETH, dan 4.260 wstETH.
Selanjutnya, menurut pemantauan alamat dompet oleh Lookonchain, total kerugian akibat serangan pada protokol ini telah meningkat menjadi 116,6 juta dolar.
Sementara itu, tim Balancer menyatakan setelah kejadian:
“Telah ditemukan kerentanan yang mungkin memengaruhi pool Balancer v2, tim engineering dan keamanan kami sedang menyelidiki insiden ini dengan prioritas tinggi, dan akan membagikan pembaruan serta langkah-langkah selanjutnya setelah mendapatkan informasi lebih lanjut.”
Selain itu, pihak resmi juga secara terbuka menyatakan bersedia membayar 20% dari aset yang dicuri sebagai hadiah white hat untuk mengembalikan aset, berlaku selama 48 jam.
Tanggapannya sangat cepat, namun juga sangat formal.
Namun, jika Anda adalah pemain lama DeFi, Anda pasti tidak akan terkejut dengan judul "Balancer diretas", melainkan merasakan deja vu yang aneh.
Sebagai protokol DeFi lama yang didirikan pada tahun 2020, Balancer telah mengalami 6 insiden keamanan dalam 5 tahun, rata-rata setiap tahun selalu ada “kunjungan” peretas, dan kali ini adalah yang terbesar dari segi jumlah dana yang dicuri.
Melihat ke belakang, ketika kondisi pasar membuat trading menjadi sangat sulit, bisa jadi bahkan strategi yield farming di DeFi pun tidak aman.
Juni 2020: Kerentanan token deflasi, kerugian sekitar 520 ribu dolar
Pada Maret 2020, Balancer memasuki dunia DeFi dengan konsep inovatif "market maker otomatis yang fleksibel". Namun, hanya tiga bulan kemudian, protokol ambisius ini mengalami mimpi buruk pertamanya.
Penyerang memanfaatkan kerentanan dalam penanganan token deflasi (Deflationary Token) oleh protokol, menyebabkan kerugian sekitar 520 ribu dolar.
Pada dasarnya, saat itu ada token bernama STA yang secara otomatis membakar 1% setiap kali transfer sebagai biaya.
Penyerang meminjam 104 ribu ETH dari dYdX flash loan, lalu melakukan trading antara STA dan ETH sebanyak 24 kali. Karena Balancer tidak menghitung saldo aktual setelah setiap transfer dengan benar, STA di pool akhirnya habis hingga hanya tersisa 1 wei. Selanjutnya, penyerang memanfaatkan ketidakseimbangan harga yang parah, menukar sejumlah kecil STA untuk mendapatkan banyak ETH, WBTC, LINK, dan SNX.
Maret 2023: Insiden Euler, kerugian sekitar 11,9 juta dolar
Kali ini Balancer menjadi korban tidak langsung.
Euler Finance mengalami serangan flash loan sebesar 197 juta dolar, pool bb-e-USD milik Balancer terkena dampak karena memegang eToken milik Euler.
Saat Euler diserang, sekitar 11,9 juta dolar dipindahkan dari pool bb-e-USD Balancer ke Euler, setara dengan 65% TVL pool tersebut. Meskipun Balancer segera menghentikan pool terkait, kerugian sudah terjadi dan tidak dapat dikembalikan.
Agustus 2023: Kerentanan presisi pool Balancer V2, kerugian sekitar 2,1 juta dolar
Serangan ini sebenarnya sudah ada tanda-tandanya. Pada 22 Agustus tahun itu, Balancer secara proaktif mengungkapkan kerentanan dan memperingatkan pengguna untuk menarik dana, namun 5 hari kemudian serangan tetap terjadi.
Kerentanan ini terkait dengan kesalahan pembulatan (rounding error) pada V2 Boosted Pool. Penyerang dengan manipulasi presisi menyebabkan perhitungan suplai BPT (Balancer Pool Token) menjadi tidak akurat, sehingga dapat menarik aset pool dengan nilai tukar yang tidak wajar. Serangan dilakukan melalui beberapa transaksi flash loan, dengan estimasi kerugian dari berbagai perusahaan keamanan berkisar antara 979 ribu hingga 2,1 juta dolar.
September 2023: Serangan pembajakan DNS, kerugian sekitar 240 ribu dolar
Ini adalah serangan rekayasa sosial, targetnya bukan smart contract melainkan infrastruktur internet tradisional.
Peretas menggunakan teknik rekayasa sosial untuk membobol registrar domain EuroDNS, membajak domain balancer.fi. Pengguna dialihkan ke situs phishing, yang menggunakan smart contract jahat Angel Drainer untuk menipu pengguna agar memberikan otorisasi transfer.
Penyerang kemudian mencuci dana curian melalui Tornado Cash.
Meskipun insiden ini bukan sepenuhnya kesalahan Balancer, namun karena nama besar protokol ini dimanfaatkan untuk phishing, pengguna tetap sulit untuk menghindarinya.
Juni 2024: Velocore diretas, kerugian sekitar 6,8 juta dolar
Meskipun Velocore adalah proyek independen, pencurian ini sebenarnya tidak ada hubungannya dengan Balancer. Namun, sebagai fork dari Balancer, Velocore menggunakan desain pool CPMM (Constant Product Market Maker) yang sama, sehingga dalam beberapa hal masih berhubungan, seperti “pencurian di tempat lain, tapi mekanismenya di Balancer”.
Kronologinya, penyerang memanfaatkan kerentanan overflow pada kontrak pool CPMM ala Balancer di Velocore, dengan memanipulasi feeMultiplier hingga melebihi 100%, menyebabkan kesalahan perhitungan.
Pada akhirnya, penyerang menggunakan flash loan dan operasi penarikan yang dirancang khusus untuk mencuri sekitar 6,8 juta dolar.
November 2025: Serangan terbaru, kerugian lebih dari 100 juta dolar
Prinsip teknis serangan kali ini sudah mulai jelas. Menurut analisis peneliti keamanan, kerentanan terletak pada pemeriksaan kontrol akses fungsi manageUserBalance di protokol Balancer V2, yang berkaitan dengan pemeriksaan hak akses pengguna.
Berdasarkan analisis dari lembaga pemantauan keamanan Defimon Alerts dan Decurity, sistem seharusnya memeriksa apakah pemanggil Balancer V2 benar-benar pemilik akun saat melakukan penarikan, namun kode secara keliru memeriksa apakah msg.sender (pemanggil aktual) sama dengan parameter op.sender yang diberikan pengguna.
Karena op.sender adalah parameter input yang dapat dikontrol pengguna, penyerang dapat memalsukan identitas sesuka hati, melewati verifikasi hak akses, dan melakukan operasi WITHDRAW_INTERNAL (penarikan internal).
Secara sederhana, kerentanan ini memungkinkan siapa saja berpura-pura menjadi pemilik akun mana pun dan langsung menarik saldo internal. Kesalahan kontrol akses dasar seperti ini lebih mirip kesalahan pemula, dan sangat mengejutkan bisa terjadi pada protokol matang yang telah berjalan selama 5 tahun.
Refleksi setelah membaca sejarah kunjungan peretas
Apa yang bisa kita pelajari dari “sejarah kunjungan peretas” ini?
Penulis merasa, protokol DeFi di dunia kripto lebih cocok untuk “dilihat dari jauh, jangan terlalu dekat”, dari luar tampak tenang, namun jika diteliti lebih dalam, ada banyak utang teknis di luar narasi yang harus dibayar.
Misalnya, salah satu inovasi Balancer sebagai protokol DeFi lama adalah memungkinkan hingga 8 jenis token dengan bobot kustom untuk membentuk pool campuran.
Dibandingkan dengan desain Uniswap yang sederhana, kompleksitas Balancer meningkat secara eksponensial.
Setiap penambahan satu token, ruang status pool meningkat drastis. Ketika Anda mencoba menyeimbangkan harga, bobot, dan likuiditas 8 token berbeda dalam satu pool, permukaan serangan juga bertambah. Serangan token deflasi tahun 2020 dan kerentanan pembulatan tahun 2023 pada dasarnya adalah akibat dari penanganan kondisi batas yang buruk akibat kompleksitas.
Yang lebih fatal, Balancer memilih jalur pengembangan iterasi cepat. Dari V1 ke V2, lalu ke berbagai Boosted Pool, setiap upgrade menambah fitur baru di atas kode lama. Akumulasi “utang teknis” ini membuat basis kode menjadi menara rapuh;
Seperti serangan terbaru akibat masalah hak akses, kesalahan desain mendasar seperti ini seharusnya tidak terjadi pada protokol yang sudah berjalan 5 tahun, mungkin ini juga menandakan pemeliharaan kode proyek sudah tidak terkendali.
Atau mungkin, di era ketika narasi, profit, dan emosi lebih penting daripada teknologi, apakah ada kerentanan di kode dasar sudah tidak penting lagi.
Balancer tentu bukan yang terakhir, Anda tidak akan pernah tahu kapan “angsa hitam” akibat berbagai komposabilitas DeFi akan datang. Jaringan ketergantungan yang kompleks di dunia DeFi membuat penilaian risiko hampir mustahil.
Bahkan jika Anda percaya pada kode Balancer, apakah Anda bisa percaya pada semua integrasi dan mitranya?
Bagi penonton, DeFi adalah eksperimen sosial yang unik; bagi partisipan, pencurian di DeFi adalah pelajaran mahal; bagi seluruh industri, kesehatan DeFi adalah biaya yang harus dibayar untuk menuju kematangan.
Semoga saja biaya ini tidak terlalu mahal.
