Bursa terdesentralisasi Balancer menjadi korban salah satu peretasan crypto paling dahsyat tahun 2025, dengan penyerang menguras sekitar $128 juta melalui tujuh jaringan blockchain dalam eksploitasi yang canggih yang melewati audit keamanan bertahun-tahun dan mengguncang ekosistem DeFi.
Pelanggaran yang dimulai dini hari tanggal 3 November itu, awalnya tampak melibatkan sekitar $70 juta dalam kerugian, menurut perusahaan analisis blockchain Nansen. Namun dalam beberapa jam, peneliti keamanan di PeckShield mengungkapkan skala sebenarnya dari serangan itu: $128,64 juta dicuri di jaringan Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism, dan Polygon.
Para penyerang bergerak cepat, mentransfer 6.587 WETH senilai $24,46 juta, 6.851 osETH senilai $26,86 juta, dan 4.260 wstETH senilai $19,27 juta ke dompet yang baru dibuat sebelum mulai mengonversi derivatif staking cair yang dicuri menjadi Ethereum. Platform analitik blockchain Lookonchain melaporkan bahwa peretas segera memulai pertukaran aset curian menjadi ETH, meningkatkan kekhawatiran tentang pencucian potensial melalui mixer terdesentralisasi atau jembatan lintas rantai.
Rincian Teknis: Bagaimana Serangan Berlangsung
Eksploitasi menargetkan kerentanan kritis dalam Balancer's V2 Composable Stable Pools, khususnya dalam fungsi "manageUserBalance" dari protokol. Menurut peneliti keamanan, pemeriksaan akses yang salah memungkinkan penyerang untuk melewati otorisasi dan melakukan penarikan internal yang tidak sah.
Analis di blockchain Adi menjelaskan di X bahwa "penanganan otorisasi dan callback yang tidak tepat memungkinkan penyerang untuk melewati pengamanan, memungkinkan pertukaran yang tidak sah atau manipulasi saldo di seluruh pool yang saling terhubung." Desain komposisi protokol, di mana beberapa pool berinteraksi dengan likuiditas bersama, memperbesar kerentanan dan memungkinkan peretas untuk menguras aset dengan cepat di beberapa chain dalam hitungan menit.
Ethereum menanggung sebagian besar kerugian, dengan sekitar $99 juta dicuri dari jaringan. Berachain menyusul dengan kerugian $12,86 juta, mendorong para validatornya untuk menghentikan jaringan dan melakukan hard fork darurat untuk memulihkan dana pengguna. Arbitrum kehilangan $6,86 juta, Base $3,9 juta, Sonic $3,44 juta, Optimism $1,58 juta, dan Polygon $232.000.
Upaya Pemulihan Cepat StakeWise
Dalam kisah sukses yang jarang terjadi di tengah kekacauan, protokol staking cair Ethereum StakeWise mengumumkan bahwa mereka telah memulihkan bagian substansial dari dana yang dicuri. Menggunakan transaksi multisignatur darurat, DAO StakeWise berhasil memulihkan 5.041 osETH senilai sekitar $19 juta dan 13.495 osGNO senilai $1,7 juta dari dompet penyerang.
Pemulihan tersebut mewakili 73,5% dari osETH yang dicuri dan 100% dari token osGNO yang diambil dalam serangan tersebut. StakeWise mengonfirmasi bahwa dana yang dipulihkan akan dikembalikan kepada pengguna yang terkena dampak berdasarkan perimbangan sesuai saldo mereka sebelum eksploitasi. sisa 26,5% osETH yang dicuri, senilai sekitar $7 juta, telah dikonversi menjadi ETH oleh penyerang dan tidak dapat dipulihkan.
StakeWise menekankan dalam pernyataannya bahwa kontrak pintar intinya dan token osETH tetap aman, karena kerentanan hanya terdapat dalam infrastruktur Balancer. Keberhasilan pemulihan tersebut sedikit meredakan kekhawatiran pasar bahwa sejumlah besar ETH akan membanjiri pasar, yang dapat menstabilkan prospek harga jangka pendek token tersebut.
Paradox Audit: Bagaimana 11 Ulasan Gagal Mendeteksi Kekurangan Kritis
Mungkin yang paling mengganggu tentang eksploitasi Balancer adalah terjadinya hal tersebut meskipun telah diambil tindakan keamanan yang luas. Kontrak pintar Balancer menjalani 11 audit komprehensif oleh empat perusahaan keamanan terkemuka — OpenZeppelin, Trail of Bits, Certora, dan ABDK — dengan audit pool stabil terbaru yang dilakukan oleh Trail of Bits pada September 2022.
Suhail Kakar, seorang pengembang Web3 terkemuka, mencatat bahwa bahkan dengan kontrak inti vault Balancer telah ditinjau oleh beberapa perusahaan independen, protokol itu tetap mengalami pelanggaran besar. Insiden ini telah memicu kembali perdebatan dalam komunitas crypto tentang apakah model audit tradisional dapat secara memadai menangani ancaman yang terus berkembang di DeFi.
Para ahli industri dari perusahaan forensik blockchain mengamati bahwa peretasan DeFi pada tahun 2025 telah melampaui kerugian $1 miliar, dengan kesalahan kontrol akses menyumbang hampir 40% dari insiden. Kasus Balancer menunjukkan bahwa ulasan kode statis, bahkan ketika dilakukan beberapa kali, mungkin gagal menangkap kerentanan halus dalam sistem DeFi yang kompleks dan saling berhubungan.
Dampak Pasar dan Respons Komunitas
Total nilai terkunci Balancer merosot 46% dari sekitar $770 juta menjadi $422 juta saat pengguna panik menarik dana. Token pemerintahan BAL asli protokol turun lebih dari 8% dalam waktu 24 jam menjadi sekitar $0,91, meskipun beberapa sumber melaporkan penurunan yang lebih moderat sekitar 5%.
Harga Ethereum juga merasakan dampaknya, dengan ETH diperdagangkan pada $3.629-$3.714 pada 4 November, turun 4-8% dari level sebelum eksploitasi. Penjualan mencerminkan ketidakpastian pasar yang lebih luas tentang kerentanan keamanan DeFi dan potensi eksploitasi tambahan di seluruh protokol yang saling terhubung.
Balancer mengakui insiden itu dalam sebuah pernyataan yang diposting di X, mengonfirmasi kesadaran akan "sebuah eksploitasi potensial yang berdampak pada pool v2 Balancer." Tim menekankan bahwa tim teknik dan keamanan mereka sedang menyelidikinya dengan prioritas tinggi dan akan berbagi pembaruan yang diverifikasi saat informasi tersedia.
Dalam upaya untuk memulihkan dana yang dicuri, Balancer menawarkan hadiah white-hat 20% — sekitar $25,6 juta — untuk pengembalian aset dalam waktu 48 jam. Tim memperingatkan dalam pesan on-chain bahwa "mitra kami memiliki tingkat kepercayaan yang tinggi bahwa Anda akan diidentifikasi dari metadata log akses yang dikumpulkan oleh infrastruktur kami," merujuk pada alamat IP dan stempel waktu yang diduga terkait dengan transaksi peretas.
Sejarah Berulang: Catatan Keamanan Bermasalah Balancer
Ini menandai pelanggaran keamanan terbesar Balancer sejauh ini, tetapi jauh dari yang pertama. Protokol telah mengalami setidaknya enam insiden keamanan besar sejak peluncurannya pada tahun 2020, rata-rata sekitar satu pelanggaran signifikan per tahun.
Pada Juni 2020, Balancer kehilangan $500.000 dalam serangan pinjaman kilat yang mengeksploitasi cara protokol menangani token deflasi seperti Statera (STA). Pada Agustus 2023, peretas menguras sekitar $2,1 juta dari V2 boosted pools melalui kerentanan presisi, hanya satu minggu setelah Balancer mengungkapkan "kerentan crit critical" dalam pool yang sama.
Bulan berikutnya, pada September 2023, serangan pembajakan DNS mengarahkan pengguna dari frontend sah Balancer ke situs phishing, yang mengakibatkan kerugian $238.000. Maret 2023 Balancer terkena dampak tidak langsung oleh peretasan Euler Finance, dengan pool bbeUSD protokol kehilangan $11,9 juta.
Implikasi Lebih Luas untuk Keamanan DeFi
Insiden Balancer tiba pada saat kritis untuk keuangan terdesentralisasi. Chainalysis melaporkan bahwa lebih dari $2 miliar dalam bentuk cryptocurrency telah dicuri oleh peretas hanya dalam paruh pertama tahun 2025, dengan kelompok yang disponsori negara Korea Utara bertanggung jawab atas perkiraan $1,65 miliar dari total tersebut.
Serangan tersebut telah memicu diskusi baru tentang tantangan keamanan fundamental yang dihadapi protokol DeFi. Tidak seperti bursa terpusat yang dapat membalikkan transaksi penipuan atau membekukan akun, platform terdesentralisasi beroperasi pada sistem pintar yang tidak dapat diubah. Konten: kontrak yang, setelah diterapkan, tidak dapat dengan mudah dimodifikasi untuk menambal kerentanan.
Beberapa jaringan blockchain mengambil tindakan yang belum pernah terjadi sebelumnya sebagai respons terhadap eksploitasi tersebut. Validator Berachain menghentikan jaringan mereka untuk melakukan pembaruan darurat. Validator Polygon menyensor transaksi peretas. Sonic memperkenalkan fungsionalitas untuk membekukan dan mengosongkan akun peretas. Intervensi ini memicu debat dalam komunitas kripto tentang ketegangan antara prinsip desentralisasi dan kebutuhan keamanan praktis.
Komentator kripto terkemuka Haseeb mengamati di X bahwa "ekosistem yang lebih kecil harus memprioritaskan keselamatan dan perlindungan komunitas di atas 'kode adalah hukum'" — suatu referensi kepada etos tradisional industri kripto bahwa hasil kontrak pintar harus final dan tidak dapat dibatalkan, bahkan ketika mereka diakibatkan oleh eksploitasi.
Pikiran Akhir
Bagi Balancer, pelanggaran ini merupakan titik balik kritis. Protokol ini telah selamat melewati badai sebelumnya dan mempertahankan posisinya sebagai salah satu pemain mapan di DeFi, dengan sekitar $355 juta masih terkunci pada 4 November meskipun terjadi penurunan dramatis. Platform ini terus memproses volume perdagangan signifikan, menangani sekitar $2,81 miliar setiap bulan dan menghasilkan sekitar $10,7 juta dalam pendapatan tahunan.
Namun, membangun kembali kepercayaan pengguna setelah eksploitasi senilai $128 juta memerlukan lebih dari sekedar perbaikan teknis. Komunitas kripto semakin menuntut transparansi, komunikasi cepat selama krisis, dan bukti konkret bahwa kerentanan keamanan telah ditangani secara komprehensif.
Pengamat industri mengharapkan insiden Balancer akan mempercepat pengawasan regulasi terhadap protokol DeFi, terutama di Amerika Serikat di mana otoritas sedang mengembangkan kerangka kerja baru untuk pengawasan keuangan terdesentralisasi. Fakta bahwa audit yang ekstensif terbukti tidak cukup untuk mencegah pelanggaran ini mungkin mendorong regulator untuk mewajibkan pengamanan tambahan, mekanisme asuransi, atau struktur tanggung jawab untuk platform DeFi.
Untuk saat ini, pengguna Balancer menghadapi keputusan sulit tentang apakah mempertahankan posisi mereka atau beralih ke alternatif yang lebih aman. Peneliti keamanan terus menyelidiki cakupan penuh dari kerentanan ini, sementara tim forensik blockchain bekerja sama dengan penegak hukum untuk melacak dana yang dicuri. Apakah peretas akan menerima tawaran hadiah topi putih dari Balancer atau berhasil mencuci dana melalui mixer dan jembatan antar-rantai masih harus dilihat.
Yang pasti adalah bahwa eksploitasi ini telah menambahkan satu lagi bab peringatan dalam sejarah turbulen DeFi, mengingatkan baik pengembang maupun pengguna bahwa dalam sistem keuangan mutakhir kripto, keamanan harus berkembang secepat teknologi itu sendiri.