Penulis: ChandlerZ, Foresight News
Dunia DeFi kembali berada di pusat badai.
Beberapa proyek berbasis arsitektur Balancer V2 pada 3 November mengalami serangan yang dirancang dengan cermat, dengan total kerugian melebihi 120 juta dolar AS. Insiden ini tidak hanya berdampak pada mainnet Ethereum, tetapi juga menyebar ke Arbitrum, Sonic, Berachain, dan beberapa chain lainnya, menjadi insiden keamanan besar yang mengguncang seluruh industri setelah kasus Euler Finance dan Curve Finance.
Analisis awal dari BlockSec menunjukkan bahwa ini adalah "serangan manipulasi harga dengan kompleksitas tinggi", di mana inti serangan adalah penyerang memanipulasi logika perhitungan harga BPT (Balancer Pool Token), memanfaatkan kesalahan pembulatan pada invariant, menciptakan distorsi harga, sehingga dapat melakukan arbitrase berulang kali dalam satu batch swap.
Mengambil contoh transaksi serangan di Arbitrum, serangan ini terdiri dari tiga tahap:
-
Penyerang pertama-tama menukar BPT menjadi aset dasar, secara presisi menyesuaikan saldo cbETH hingga ke batas pembulatan (sekitar 9 unit), menciptakan kondisi untuk kehilangan presisi pada langkah berikutnya;
-
Kemudian, dengan jumlah tertentu (=8), melakukan swap antara aset dasar lain wstETH dan cbETH, di mana terjadi pembulatan ke bawah saat scaling, sehingga Δx sedikit berkurang, menyebabkan Δy diremehkan, membuat invariant D pada pool stabil menjadi lebih kecil, dan menekan harga teoretis BPT;
-
Terakhir, penyerang menukar kembali aset dasar menjadi BPT, meraup keuntungan dari harga yang telah ditekan tersebut.
Singkatnya, ini adalah serangan presisi yang dibangun di atas batas matematika dan kode.
Pihak resmi Balancer telah mengonfirmasi bahwa V2 Composable Stable Pools terkena serangan celah keamanan. Saat ini tim telah bekerja sama dengan peneliti keamanan terkemuka untuk melakukan investigasi, dan berjanji akan segera membagikan laporan analisis pasca insiden secara lengkap. Semua pool terdampak yang dapat dihentikan telah dibekukan secara darurat dan masuk ke mode pemulihan. Dampak celah ini hanya terbatas pada V2 Composable Stable Pools, tidak memengaruhi Balancer V3 atau tipe pool lainnya.
Setelah insiden celah Balancer V2, proyek-proyek yang melakukan fork terhadap Balancer juga mengalami gejolak hebat. Menurut data DeFiLlama, hingga 4 November, total nilai terkunci (TVL) proyek terkait hanya tersisa sekitar 49,34 juta dolar AS, turun 22,88% dalam satu hari. Di antaranya, BEX sebagai DEX native Berachain, TVL-nya turun 26,4% menjadi 40,27 juta dolar AS, masih menyumbang 81,6% dari seluruh ekosistem, namun karena chain dihentikan dan likuiditas dibekukan, arus keluar dana masih terus berlangsung. Korban lain, Beets DEX, bahkan lebih parah, TVL anjlok 75,85% dalam 24 jam, dan turun hampir 79% dalam 7 hari terakhir.
Selain protokol di atas, DEX lain berbasis arsitektur Balancer juga mengalami penarikan dana secara panik. PHUX turun 26,8% dalam sehari, Jellyverse turun 15,5%, dan Gaming DEX anjlok 89,3%, likuiditas hampir habis. Bahkan proyek kecil-menengah yang tidak terdampak langsung, seperti KLEX Finance, Value Liquid, Sobal, juga umumnya mencatat arus keluar dana 5%–20%.
Efek Domino Mulai Terlihat, Berachain Lakukan Hard Fork Darurat
Celah yang berasal dari Balancer V2 ini dengan cepat memicu efek domino yang lebih besar.
Berachain, public chain baru berbasis Cosmos SDK, karena BEX juga menggunakan arsitektur kontrak Balancer V2, juga diserang hacker hanya dalam beberapa jam. Yayasan segera mengumumkan "penghentian seluruh chain" setelah mendeteksi anomali.
Diketahui, aset pool likuiditas seperti USDe Tripool milik BEX terancam, dengan dana terdampak sekitar 12 juta dolar AS. Penyerang memanfaatkan celah logika yang sama dengan Balancer, mencuri dana melalui beberapa interaksi smart contract. Karena sebagian aset adalah token non-native, tim harus melakukan hard fork untuk rollback beberapa blok demi pemulihan dan pelacakan.
Pada saat yang sama, beberapa protokol di ekosistem Berachain, termasuk Ethena, Relay, HONEY, juga mengambil langkah-langkah defensif:
-
Melarang transfer lintas chain USDe;
-
Menangguhkan setoran terkait pasar pinjaman;
-
Menghentikan pencetakan dan penebusan HONEY;
-
Memberitahu exchange terpusat untuk memasukkan alamat mencurigakan ke daftar hitam.
Yayasan Berachain menyatakan bahwa penghentian jaringan Berachain kali ini sudah direncanakan, dan jaringan akan kembali beroperasi normal dalam waktu dekat. Celah Balancer terutama berdampak pada tiga pool Ethena/Honey, yang terjadi melalui transaksi smart contract yang relatif kompleks. Karena celah ini memengaruhi aset non-native (bukan hanya BERA), proses rollback/rollforward bukan sekadar hard fork sederhana, sehingga sebelum solusi akhir ditentukan, jaringan akan dihentikan sementara untuk menyelesaikan solusi secara menyeluruh.
Pada 4 November, Yayasan Berachain menyatakan bahwa file biner hard fork telah didistribusikan, dan beberapa node validator telah melakukan upgrade. Sebelum jaringan kembali online dan menghasilkan blok, mereka ingin memastikan infrastruktur inti yang dibutuhkan untuk menjalankan chain (seperti oracle likuidasi) telah memperbarui RPC mereka, karena ini akan menjadi hambatan utama untuk memulihkan operasi on-chain. Setelah permintaan RPC layanan inti selesai, tim akan berkoordinasi dengan mitra bridge lintas chain, CEX, lembaga kustodian, dan lainnya untuk memulihkan layanan.
Pada saat yang sama, seorang operator bot MEV Berachain menghubungi yayasan setelah chain dihentikan, mengaku sebagai "white hat" yang menarik dana, dan mengirim pesan on-chain. Ia menyatakan bersedia menandatangani serangkaian transaksi terlebih dahulu, agar dana dapat dikembalikan setelah blockchain kembali online.
Keamanan atau Desentralisasi?
"Kami tahu ini kontroversial, tetapi ketika sekitar 12 juta dolar AS aset pengguna terancam, melindungi pengguna adalah satu-satunya pilihan." Smokey The Bera, salah satu pendiri Berachain, menanggapi keraguan komunitas tentang isu "sentralisasi".
Dalam pernyataannya, ia mengakui bahwa Berachain belum mencapai tingkat desentralisasi seperti Ethereum, mekanisme koordinasi antar validator lebih mirip "pusat komando krisis" daripada jaringan konsensus otomatis. Faktanya, node on-chain berhenti secara serempak kurang dari satu jam setelah celah ditemukan, menunjukkan efisiensi pengambilan keputusan terpusat, namun juga mengungkap tingkat sentralisasi pada lapisan tata kelola.
Reaksi komunitas pun langsung terbelah.
Pendukung menilai langkah ini menunjukkan tanggung jawab tim terhadap keamanan pengguna, sebagai "desentralisasi yang realistis"; sedangkan penentang menuduh ini melanggar prinsip "Code is Law", dan merupakan pengkhianatan terang-terangan terhadap sifat irreversible on-chain.
Detektif on-chain ZachXBT berkomentar, "Dalam situasi di mana dana pengguna sangat terancam, ini adalah keputusan yang sulit namun benar."
Namun ada juga pengembang radikal yang berterus terang: "Jika blockchain bisa dihentikan kapan saja oleh manusia, lalu apa bedanya dengan sistem keuangan tradisional?"
Bayangan Insiden DAO Kembali Terulang
Kisruh ini mengingatkan banyak pelaku industri pada insiden peretasan DAO Ethereum tahun 2016. Saat itu, demi mengembalikan 50 juta dolar AS yang dicuri, Ethereum memutuskan melakukan hard fork untuk rollback transaksi, yang akhirnya memecah komunitas menjadi Ethereum (ETH) dan Ethereum Classic (ETC).
Sembilan tahun berlalu, pilihan serupa kembali muncul.
Bedanya, kali ini protagonisnya adalah public chain yang masih dalam tahap awal pengembangan, belum cukup terdesentralisasi, dan belum memiliki dukungan konsensus global.
Intervensi manusia oleh Berachain memang mencegah kerugian yang lebih luas, namun kembali memunculkan pertanyaan filosofis: "Apakah blockchain benar-benar bisa otonom?"
Dalam arti tertentu, ini juga menjadi cermin bagi ekosistem DeFi: keamanan, efisiensi, desentralisasi — keseimbangan di antara ketiganya belum pernah benar-benar tercapai.
Ketika hacker dapat menghancurkan aset puluhan juta dolar dalam hitungan detik, "idealisme" seringkali harus mengalah pada "realitas".
Pihak resmi Balancer menyatakan bahwa tim sedang bekerja sama dengan peneliti keamanan terkemuka, berencana merilis laporan analisis pasca insiden secara lengkap, dan mengingatkan pengguna untuk waspada terhadap penipuan yang mengatasnamakan tim keamanan palsu.
Pihak Berachain memperkirakan setelah hard fork selesai, produksi blok dan fungsi transaksi akan dipulihkan secara bertahap.
Namun, memulihkan kepercayaan jauh lebih sulit daripada memperbaiki celah. Bagi public chain baru, menghentikan chain memang solusi jangka pendek, namun bisa meninggalkan luka jangka panjang di komunitas. Pengguna akan meragukan keaslian desentralisasi, pengembang akan khawatir apakah masih ada jaminan yang tak dapat diubah.
Dunia DeFi mungkin sedang mendefinisikan ulang desentralisasi, bukan kebebasan absolut, melainkan menemukan konsensus kompromi terkecil di tengah krisis.
