Sejarah serangan hacker pada protokol DeFi Balancer yang sudah lama berdiri: selama 5 tahun mengalami 6 insiden keamanan, dengan total kerugian lebih dari ratusan juta dolar.

Protokol DeFi veteran Balancer telah mengalami 6 insiden keamanan besar dalam 5 tahun terakhir, dan serangan terbaru telah kehilangan lebih dari $100 juta, mengungkapkan risiko teknis di balik kompleksitas DeFi. (Sinopsis: Balancer meretas $116 juta" tanggapan resmi telah diselidiki, konsultan Lido: akan menyebabkan adopsi DeFi mundur 1 tahun) (Latar belakang ditambahkan: Protokol DeFi lama Balancer telah diretas!) Kerusakannya telah melebihi $116 juta, tetapi serangan terus berlanjut) Bagi penonton, DeFi adalah eksperimen sosial baru; Bagi peserta, pencurian DeFi adalah pelajaran yang mahal. Kebocoran rumah bertepatan dengan hujan semalaman, dan peretas secara khusus memilih jatuhnya. Dalam penurunan baru-baru ini di seluruh pasar kripto, protokol DeFi lama telah terpukul keras. Pada 3 November, data on-chain menunjukkan bahwa protokol Balancer dicurigai diretas. Sekitar $70,9 juta aset ditransfer ke dompet baru, termasuk 6.850 osETH, 6.590 WETH dan 4.260 wstETH. Selanjutnya, menurut pemantauan Lookonchain dari alamat dompet yang dimaksud, jumlah total kerusakan pada serangan terhadap protokol telah meningkat menjadi $116,6 juta. Tim Balancer mengatakan setelah insiden tersebut: “Serangan kerentanan telah diidentifikasi yang dapat memengaruhi kumpulan Balancer v2, dan tim teknik dan keamanannya sedang menyelidiki insiden ini dengan prioritas tinggi dan akan membagikan pembaruan terverifikasi dan langkah selanjutnya saat informasi lebih lanjut tersedia.” Selain itu, para pejabat juga secara terbuka menyatakan kesediaan mereka untuk membayar 20% dari aset curian sebagai hadiah topi putih untuk memulihkan aset, yang berlaku selama 48 jam. Tanggapannya cepat tetapi juga resmi. Namun, jika Anda seorang veteran DeFi, Anda tidak akan terkejut dengan judul “Balancer hacked”, tetapi ada rasa déjà vu yang aneh. Sebagai protokol DeFi veteran yang didirikan pada tahun 2020, Balancer bahkan telah mengalami 6 insiden keamanan dalam 5 tahun terakhir, dengan rata-rata satu acara yang dicadangkan dilindungi oleh peretas setiap tahun, dan kali ini hanya jumlah uang terbesar yang dicuri. Melihat kembali sejarah, ketika situasi pasar membuat perdagangan sulit menjadi neraka, kemungkinan besar ada arbitrase bunga di DeFi dan itu tidak aman. Juni 2020: Kerentanan token deflasi, kerugian sekitar $520.000 Pada Maret 2020, Balancer memasuki dunia DeFi dengan ide inovatif tentang “pembuat pasar otomatis yang fleksibel”. Namun, hanya tiga bulan kemudian, kesepakatan ambisius itu mengalami mimpi buruk pertamanya. Para penyerang mengeksploitasi kesalahan penanganan token deflasi oleh protokol, menyebabkan kerugian sekitar $520.000. Prinsip umumnya adalah bahwa pada saat itu, token yang disebut STA secara otomatis membakar 1% sebagai biaya untuk setiap transfer. Para penyerang meminjamkan 104.000 ETH dari pinjaman kilat dYdX dan kemudian diperdagangkan bolak-balik antara STA dan ETH 24 kali. Karena Balancer tidak menghitung saldo aktual dengan benar setelah setiap transfer, STA di pool akhirnya habis menjadi hanya 1 wei. Para penyerang kemudian mengeksploitasi ketidakseimbangan harga yang parah dan menukar sejumlah besar ETH, WBTC, LINK, dan SNX dengan sejumlah kecil STA. Maret 2023: Insiden Euler berbaring pistol, kerugian sekitar $11.9 juta Kali ini Balancer adalah korban tidak langsung. Euler Finance mengalami serangan pinjaman kilat senilai $197 juta, dan kumpulan bb-e-USD Balancer terlibat karena memegang eToken Euler. Ketika Euler diserang, sekitar $ 11,9 juta ditransfer dari kumpulan bb-e-USD Balancer ke Euler, atau 65% dari TVL kumpulan tersebut. Meskipun Balancer segera menangguhkan kolam yang dimaksud, kerusakan telah terjadi secara tidak dapat diperbaiki. Agustus 2023: Kerentanan Presisi Balancer V2 Pool, Kerugian Sekitar $2,1 Juta Serangan ini sebenarnya diramalkan. Pada tanggal 22 Agustus tahun itu, Balancer secara sukarela mengungkapkan kerentanan dan memperingatkan pengguna untuk divestasi, tetapi serangan itu masih terjadi 5 hari kemudian. Kerentanan melibatkan kesalahan pembulatan di V2 Boosted Pool. Melalui manipulasi yang tepat, penyerang membiaskan perhitungan pasokan BPT (Balancer Pool Token), sehingga dapat menarik aset di pool dengan nilai tukar yang tidak tepat. Serangan itu diselesaikan melalui beberapa transaksi pinjaman kilat, dengan perkiraan kerugian mulai dari $ 979.000 hingga $ 2,1 juta oleh perusahaan keamanan yang berbeda. September 2023: Serangan pembajakan DNS dengan kerusakan sekitar $240.000 Ini adalah serangan rekayasa sosial yang menargetkan bukan kontrak pintar tetapi infrastruktur jaringan tradisional. Peretas menggunakan rekayasa sosial untuk membobol registrar domain EuroDNS dan membajak nama domain balancer.fi. Pengguna diarahkan ke situs web phishing yang menggunakan kontrak berbahaya Angel Drainer untuk mengelabui pengguna agar mengotorisasi transfer. Para penyerang kemudian mencuci uang curian melalui Tornado Cash. Meskipun masalah ini sendiri bukan pot Balancer, sulit juga untuk mencegah orang menggunakan merek protokol untuk memancing. Juni 2024: Velocore diretas, kehilangan sekitar $6,8 juta Meskipun Velocore adalah proyek independen, pencuriannya tidak ada hubungannya dengan Balancer. Tetapi sebagai garpu dari Balancer, Velocore menggunakan desain pool CPMM (Constant Product Market Maker) yang sama, yang agak dalam nada yang sama, lebih seperti mencuri di tempat lain, tetapi mekanismenya ada di Balancer. Kali ini, mungkin, penyerang mengeksploitasi kerentanan luapan dalam kontrak kumpulan CPMM bergaya Balancer Velocore untuk memanipulasi pengganda biaya (feeMultiplier) hingga melebihi 100%, yang mengakibatkan kesalahan perhitungan. Para penyerang akhirnya mencuri sekitar $ 6,8 juta melalui pinjaman kilat yang dikombinasikan dengan penarikan yang rumit. November 2025: Serangan terbaru, lebih dari 100 juta kerugian Prinsip teknis serangan ini telah diklarifikasi terlebih dahulu. Menurut analisis peneliti keamanan, kerentanan terletak pada pemeriksaan kontrol akses fungsi manageUserBalance di protokol Balancer V2, yang juga sesuai dengan pemeriksaan izin pengguna. Menurut analisis oleh pengawas keamanan Defimon Alerts and Decurity, sistem seharusnya memeriksa apakah penelepon adalah pemilik sebenarnya dari akun saat memverifikasi izin penarikan Balancer V2, tetapi kode tersebut salah memeriksa apakah msg.sender (penelepon sebenarnya) sama dengan parameter op.sender yang disediakan oleh pengguna itu sendiri. Karena op.sender adalah parameter input yang dapat dikontrol pengguna, penyerang dapat memalsukan identitas sesuka hati, melewati verifikasi izin, dan melakukan WITHDRAW_INTERNAL (penarikan internal…