DeFi kembali mengalami masalah besar! Balancer diretas lebih dari 116 juta dolar AS, kerugian masih terus bertambah!

Pada sekitar pukul 3:48PM zona waktu GMT+8 pada 3 November, platform pemantauan data on-chain tiba-tiba menemukan: Balancer, alamat vault dari protokol DeFi yang sudah lama berdiri, terjadi transfer besar yang tidak biasa.

Etherscan menunjukkan bahwa aset multi-chain termasuk 6.587 WETH (sekitar 24,5 juta dolar AS), 6.851 osETH (sekitar 26,9 juta dolar AS), dan 4.260 wstETH (sekitar 19,3 juta dolar AS) telah dipindahkan ke dompet eksternal.

Beberapa analis on-chain berpendapat bahwa ini kemungkinan adalah eksploitasi celah keamanan atau penarikan tanpa otorisasi, bukan migrasi likuiditas rutin. Beberapa penyedia analisis blockchain termasuk Nansen juga telah menandai transaksi ini sebagai transaksi mencurigakan.

Menurut pemantauan dari lembaga keamanan blockchain PeckShield, serangan masih berlangsung di jaringan multi-chain seperti Ethereum.

Hingga sekitar pukul 4:48PM zona waktu GMT+8, alamat penyerang (0x54B5…30d) melakukan satu transaksi lagi dengan memanggil fungsi 0x8a4f75d6, Lookonchain mengonfirmasi total kerugian telah melebihi 116 juta dolar AS.

Co-founder Trading Strategy, Mikko Ohtamaa, menunjukkan bahwa analisis awal mengindikasikan akar masalah berasal dari kekurangan mekanisme pemeriksaan smart contract. Meskipun tidak semua versi Balancer terpengaruh, jika fork V2 lama memiliki celah yang sama, total kerugian bisa semakin meningkat.

Keamanan DeFi Masih Menjadi Tantangan

Ini bukan kali pertama Balancer mengalami masalah keamanan.

• Pada tahun 2020, protokol ini pernah mengalami kerugian sekitar 500 ribu dolar AS karena tidak mempertimbangkan perilaku khusus token “fee-on-transfer”, sehingga penyerang dapat memanipulasi aset pool melalui flash loan.

• Pada Agustus 2023, Boosted Pool Balancer V2 ditemukan memiliki celah, meskipun sudah ada peringatan resmi, serangan tetap terjadi dan menyebabkan kerugian sekitar 1 juta dolar AS.

• Pada September tahun yang sama, domain frontend Balancer mengalami serangan DNS hijacking, sehingga pengguna kehilangan hampir 240 ribu dolar AS setelah menandatangani transaksi di situs phishing.

Kini, gelombang serangan terbaru kembali menyoroti masalah keamanan DeFi. Mulai dari desain kontrak hingga deployment frontend, dari logika pool likuiditas hingga manajemen aset lintas chain, tantangan keamanan yang dihadapi Balancer tampaknya belum pernah benar-benar terselesaikan.

Selain itu, Balancer sendiri adalah protokol hub likuiditas, jika terjadi masalah, bukan hanya dirinya yang terdampak. LP yang terjebak, aggregator yang bergantung padanya, pool aset, vault strategi... semuanya akan terkena imbas.

Dunia DeFi mengedepankan “tanpa kepercayaan”, namun di tengah eksploitasi celah berulang kali, apa sebenarnya yang bisa dipercaya oleh pengguna? Setelah lima tahun berkembang, DeFi bukan lagi permainan kelompok kecil para geek, melainkan infrastruktur keuangan yang mengelola dana miliaran dolar. Sayangnya, bahkan protokol papan atas seperti Balancer pun masih sulit lepas dari nasib luka lama belum sembuh, luka baru sudah datang.

Balancer Merespons Dua Jam Kemudian

Pada pukul 17:50 zona waktu GMT+8, atau dua jam setelah insiden terjadi, Balancer memperbarui akun Twitter resminya: telah ditemukan celah yang mungkin memengaruhi pool Balancer v2. Tim engineering dan keamanan kami sedang melakukan investigasi prioritas tinggi, dan segera setelah ada informasi lebih lanjut, kami akan langsung membagikan pembaruan terkonfirmasi dan langkah selanjutnya.

Bitpush akan terus memantau perkembangan insiden ini, kami akan segera menyampaikan update terbaru, silakan tetap pantau.