Il exchange decentralizzato Balancer è stato vittima di uno degli hack cripto più devastanti del 2025, con attaccanti che hanno sottratto circa $128 milioni su sette reti blockchain in un sofisticato exploit che ha eluso anni di audit di sicurezza e ha creato shock nel sistema DeFi.
La violazione, iniziata nelle prime ore del 3 novembre, sembrava inizialmente coinvolgere circa $70 milioni in perdite, secondo la società di analisi blockchain Nansen. Tuttavia, nel giro di poche ore, i ricercatori di sicurezza di PeckShield hanno rivelato la reale portata dell'attacco: $128,64 milioni rubati attraverso le reti Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism e Polygon.
Gli attaccanti si sono mossi rapidamente, trasferendo 6.587 WETH del valore di $24,46 milioni, 6.851 osETH valutati a $26,86 milioni e 4.260 wstETH del valore di $19,27 milioni a nuovi portafogli creati, prima di iniziare a convertire i derivati di staking liquido rubati in Ethereum. La piattaforma di analisi blockchain Lookonchain ha riferito che l'hacker ha subito iniziato a scambiare i beni rubati per ETH, sollevando preoccupazioni su un potenziale riciclaggio attraverso mixer decentralizzati o bridge cross-chain.
Approfondimento tecnico: Come si è svolto l'attacco
L'exploit ha mirato a una vulnerabilità critica nei Stable Pool Composable V2 di Balancer, specificamente all'interno della funzione "manageUserBalance" del protocollo. Secondo i ricercatori di sicurezza, il controllo di accesso errato ha permesso agli attaccanti di bypassare l'autorizzazione, eseguendo prelievi non autorizzati dei bilanci interni.
L'analista on-chain Adi ha spiegato su X che "un'autorizzazione impropria e una gestione errata delle callback ha permesso all'attaccante di eludere le salvaguardie, abilitando scambi non autorizzati o manipolazioni dei bilanci nei pool interconnessi". Il design composito del protocollo, dove più pool interagiscono pesantemente con liquidità condivisa, ha amplificato la vulnerabilità e ha permesso agli hacker di drenare rapidamente gli asset su più chain in pochi minuti.
Ethereum ha subito il grosso delle perdite, con circa $99 milioni rubati dalla rete. Berachain ha seguito con $12,86 milioni in perdite, spingendo i suoi validatori a fermare la rete ed eseguire un hard fork d'emergenza per recuperare i fondi degli utenti. Arbitrum ha perso $6,86 milioni, Base $3,9 milioni, Sonic $3,44 milioni, Optimism $1,58 milioni e Polygon $232.000.
StakeWise lancia uno sforzo di recupero rapido
In una rara storia di successo nel caos, il protocollo di staking liquido su Ethereum StakeWise ha annunciato di aver recuperato sostanziali porzioni dei fondi rubati. Utilizzando transazioni multisignature d'emergenza, il DAO di StakeWise ha reclamato con successo 5,041 osETH del valore di circa $19 milioni e 13,495 osGNO valutati a $1,7 milioni dal portafoglio dell'attaccante.
Il recupero ha rappresentato il 73,5% degli osETH rubati e il 100% dei token osGNO presi nell'attacco. StakeWise ha confermato che i fondi recuperati sarebbero stati restituiti agli utenti colpiti su base pro-rata secondo i loro bilanci pre-exploit. Il restante 26,5% degli osETH rubati, con un valore stimato di $7 milioni, era già stato convertito in ETH dall'attaccante e non poteva essere recuperato.
StakeWise ha sottolineato in una dichiarazione che i suoi contratti intelligenti principali e il token osETH sono rimasti sicuri, poiché la vulnerabilità esisteva unicamente nell'infrastruttura di Balancer. Il recupero di successo ha leggermente ridotto i timori del mercato che grandi quantità di ETH potessero inondare il mercato, stabilizzando potenzialmente la prospettiva di prezzo a breve termine del token.
Paradosso dell'audit: Come 11 recensioni hanno mancato un difetto critico
Forse la cosa più preoccupante dell'exploit di Balancer è che si è verificato nonostante le ampie precauzioni di sicurezza. I contratti intelligenti di Balancer hanno subito 11 audit approfonditi da parte di quattro delle principali aziende di sicurezza — OpenZeppelin, Trail of Bits, Certora e ABDK — con l'audit più recente dei pool stabili condotto da Trail of Bits nel settembre 2022.
Suhail Kakar, uno sviluppatore Web3 di rilievo, ha notato che anche con il contratto del vault principale di Balancer rivisto da più aziende indipendenti, il protocollo ha ancora subito una grave violazione. L'incidente ha riaperto il dibattito nella comunità crypto sul fatto che i modelli di audit tradizionali affrontino adeguatamente il panorama delle minacce in evoluzione nel DeFi.
Esperti del settore delle aziende di forensics blockchain osservano che gli hack DeFi nel 2025 hanno già superato $1 miliardo di perdite, con errori di controllo degli accessi che rappresentano quasi il 40% degli incidenti. Il caso di Balancer suggerisce che le revisioni statiche del codice, anche quando eseguite più volte, possono non riuscire a rilevare vulnerabilità sottili in sistemi DeFi complessi e interconnessi.
Impatto di mercato e risposta della comunità
Il valore totale bloccato di Balancer è precipitato del 46% da circa $770 milioni a $422 milioni, mentre utenti in preda al panico ritiravano fondi. Il token di governance nativo del protocollo BAL è sceso di oltre l'8% in 24 ore a circa $0,91, anche se alcune fonti riportano un calo più modesto del 5%.
Anche il prezzo di Ethereum ha risentito dell'impatto, con l'ETH trattato a $3.629-$3.714 il 4 novembre, in calo del 4-8% rispetto ai livelli pre-exploit. La svendita rifletteva un'incertezza di mercato più ampia sulle vulnerabilità di sicurezza del DeFi e il potenziale per ulteriori exploit su protocolli interconnessi.
Balancer ha riconosciuto l'incidente in una dichiarazione pubblicata su X, confermando la consapevolezza di "un potenziale exploit che impatta i pool V2 di Balancer". Il team ha sottolineato che i suoi team di ingegneria e sicurezza stavano indagando con alta priorità e avrebbero condiviso aggiornamenti verificati man mano che le informazioni fossero disponibili.
Nel tentativo di recuperare i fondi rubati, Balancer ha offerto una taglia white-hat del 20% — circa $25,6 milioni — per la restituzione degli asset entro 48 ore. Il team ha avvertito in un messaggio on-chain che "i nostri partner hanno un alto grado di fiducia che sarai identificato dai metadati dei log di accesso raccolti dalla nostra infrastruttura," riferendosi a indirizzi IP e timestamp presumibilmente collegati alle transazioni dell'hacker.
La storia si ripete: Il difficile record di sicurezza di Balancer
Questo segna la violazione di sicurezza più grande di Balancer fino ad oggi, ma non certo la prima. Il protocollo ha vissuto almeno sei incidenti di sicurezza maggiori dal suo lancio nel 2020, con una media di circa una violazione significativa all'anno.
Nel giugno 2020, Balancer ha perso $500.000 in un attacco di prestito lampo che ha sfruttato come il protocollo gestiva token deflazionistici come Statera (STA). Nell'agosto 2023, hacker hanno drenato circa $2,1 milioni dai pool V2 potenziati attraverso una vulnerabilità di precisione, solo una settimana dopo che Balancer aveva rivelato una "vulnerabilità critica" in quegli stessi pool.
Il mese seguente, nel settembre 2023, un attacco di dirottamento DNS ha reindirizzato gli utenti dalla legittima interfaccia di Balancer a un sito di phishing, portando a $238.000 in perdite. Nel marzo 2023 Balancer è stato indirettamente colpito dall'hack di Euler Finance, con il pool bbeUSD del protocollo che ha perso $11,9 milioni.
Implicazioni più ampie per la sicurezza del DeFi
L'incidente di Balancer arriva in un momento critico per la finanza decentralizzata. I report di Chainalysis indicano che oltre $2 miliardi in criptovalute sono stati rubati da hacker nella prima metà del 2025 solo, con gruppi sostenuti dallo stato nordcoreano responsabili per una stima di $1,65 miliardi di quel totale.
L'attacco ha suscitato nuovo dibattito sulle sfide fondamentali di sicurezza che affrontano i protocolli DeFi. A differenza degli exchange centralizzati che possono invertire transazioni fraudolente o congelare conti, le piattaforme decentralizzate operano su smart contracts immutabili. Contenuto: contratti che, una volta distribuiti, non possono essere facilmente modificati per correggere le vulnerabilità.
Several blockchain networks took unprecedented action in response to the exploit. I validatori di Berachain hanno fermato la loro rete per effettuare aggiornamenti di emergenza. I validatori di Polygon hanno censurato le transazioni dei hacker. Sonic ha introdotto la funzionalità per congelare e azzerare l'account del hacker. Queste interventi hanno scatenato un dibattito all'interno della comunità crypto sulla tensione tra i principi della decentralizzazione e le esigenze pratiche di sicurezza.
Un commentatore crypto di rilievo, Haseeb, ha osservato su X che "gli ecosistemi più piccoli dovrebbero dare priorità alla sicurezza e alla protezione della comunità rispetto a 'il codice è legge'" — un riferimento all'etica tradizionale dell'industria crypto secondo cui i risultati dei contratti intelligenti dovrebbero essere definitivi e irreversibili, anche quando derivano da exploit.
Pensieri finali
Per Balancer, questa violazione rappresenta un punto di inflessione critico. Il protocollo aveva superato tempeste precedenti e mantenuto la sua posizione come uno dei giocatori affermati della DeFi, con circa 355 milioni di dollari ancora bloccati al 4 novembre nonostante il calo drammatico. La piattaforma continua a gestire un volume di trading significativo, trattando circa 2,81 miliardi di dollari mensili e generando circa 10,7 milioni di dollari di entrate annuali.
Tuttavia, ricostruire la fiducia degli utenti dopo un exploit da 128 milioni di dollari richiederà più di semplici correzioni tecniche. La comunità crypto richiede sempre più trasparenza, comunicazione rapida durante le crisi e prove concrete che le vulnerabilità di sicurezza sono state affrontate in modo completo.
Gli osservatori del settore si aspettano che l'incidente di Balancer acceleri l'esame regolatorio dei protocolli DeFi, in particolare negli Stati Uniti dove le autorità stanno sviluppando nuovi quadri per la supervisione della finanza decentralizzata. Il fatto che un audit estensivo si sia rivelato insufficiente per prevenire questa violazione potrebbe spingere i regolatori a richiedere ulteriori misure di salvaguardia, meccanismi di assicurazione o strutture di responsabilità per le piattaforme DeFi.
Per ora, gli utenti di Balancer si trovano di fronte a decisioni difficili riguardo al mantenimento delle loro posizioni o al ritiro verso alternative più sicure. I ricercatori di sicurezza continuano a indagare l'intera portata della vulnerabilità, mentre i team di analisi forense della blockchain lavorano con le forze dell'ordine per tracciare i fondi rubati. Resta da vedere se il hacker accetterà l'offerta di ricompensa white-hat di Balancer o riuscirà a riciclare i fondi attraverso mixer e bridge cross-chain.
Ciò che è certo è che questo exploit ha aggiunto un altro capitolo di avvertimento alla storia turbolenta della DeFi, ricordando sia agli sviluppatori che agli utenti che nei sistemi finanziari all'avanguardia del crypto, la sicurezza deve evolversi tanto rapidamente quanto la tecnologia stessa.