1,28 juta dolar AS dicuri, 27 protokol fork "terkena", peristiwa Balancer memberikan tiga pelajaran penting untuk Keuangan Desentralisasi

Ditulis oleh: Frank, PANews

Pada 3 November, langit dunia DeFi robek oleh sebuah celah. Alamat treasury dari protokol DeFi lama Balancer mengalami transfer dana besar yang tidak biasa. Dalam beberapa jam berikutnya, seluruh industri menyaksikan bencana yang terjadi secara langsung, dengan dana yang terpengaruh dari yang awalnya dilaporkan sebesar 70 juta dolar AS naik hingga 116,6 juta dolar AS, dan akhirnya stabil di angka mengejutkan sebesar 128,64 juta dolar AS.

Di balik jumlah kerugian yang besar, terdapat hingga 27 “protokol fork” dari protokol Balancer V2, yang juga menghadapi risiko sistemik yang ditimbulkan oleh celah fatal yang telah lama ada ini.

Balancer V2 diserang hacker, 128 juta USD dana dicuri

Pada 3 November, perusahaan keamanan blockchain, Shield, memperhatikan adanya transfer abnormal di Balancer V2 vault. Sebagian besar Ethereum terbungkus (WETH) dan derivatif staking likuid (wstETH, osETH) dipindahkan ke dompet baru.

Kemudian, tim Balancer cepat mengonfirmasi bahwa memang terjadi insiden serangan di blockchain, dan seiring dengan terus ditemukannya masalah melalui pemantauan blockchain, jumlah kerugian yang terstatistik akhirnya mencapai 128 juta dolar. Tim Balancer menyatakan bahwa jangkauan serangan tersebut secara ketat dibatasi pada Composable Stable Pools V2. Arsitektur V3 mereka yang lebih baru dan jenis kolam V2 lainnya (seperti kolam berbobot) tidak terpengaruh.

Hingga 4 November, tim Balancer masih belum mengumumkan penyebab spesifik dari serangan tersebut. Namun, menurut analisis dari analis on-chain Nansen, akar penyebab serangan ini adalah “pemeriksaan kontrol akses yang cacat” (faulty access-control check).

Penyerang mengirimkan instruksi yang dibuat dengan jahat ke dalam kas melalui pemanggilan fungsi manageUserBalance dari protokol V2. Instruksi ini menipu buku besar internal protokol, membuatnya percaya bahwa “protokol baru saja menerima biaya besar,” dan “kepemilikan biaya ini adalah milik penyerang.” Kemudian, penyerang memanggil permintaan penarikan normal, mentransfer aset besar ke beberapa akun miliknya.

Dari sudut pandang teknis, keberhasilan serangan kali ini tidak ditentukan oleh seberapa kuat kemampuan teknis, tetapi oleh cara cerdiknya penyerang memanfaatkan celah logika dalam protokol. Beberapa analis berpendapat bahwa hacker meninggalkan log konsol selama proses serangan, dan berdasarkan kebiasaan jejak yang ditinggalkan, hacker ini kemungkinan besar menggunakan model AI besar untuk menulis dan memeriksa kode, sehingga menemukan cacat yang terlewat oleh auditor manusia.

27 protokol fork “terkena dampak”, setiap rantai meluncurkan langkah darurat

Dibandingkan dengan taktik serangan cerdas para hacker, yang benar-benar mengecewakan industri adalah, Balancer V2 telah diaudit sebanyak 11 kali oleh empat perusahaan keamanan berbeda yaitu OpenZeppelin, Trail of Bits, Certora, dan ABDK, namun masih gagal menemukan celah ini.

Yang paling ironis adalah bahwa “Composable Stable Pool” ( ), komponen khusus ini, pernah menjalani audit khusus oleh Certora dan Trail of Bits pada September 2022.

Sebagai protokol DeFi yang telah beroperasi selama bertahun-tahun dan terlihat telah teruji oleh pasar, protokol Balancer V2 sebagai template telah berkembang menjadi sebanyak 27 “protokol fork”, dan semua protokol ini mewarisi celah logika dari Balancer V2. Bagi para peretas, celah ini seperti memiliki kunci universal yang dapat membuka brankas “protokol fork” yang juga memiliki kode cacat ini kapan saja.

Sebenarnya, serangan hacker kali ini telah menyebar ke beberapa rantai. Di antaranya, protokol utama Balancer V2 di jaringan utama Ethereum ( mengalami kerusakan paling parah, dengan perkiraan kerugian mencapai 100 juta dolar. Selanjutnya adalah protokol BEX di Berachain, yang kerugiannya bisa mencapai 12,86 juta dolar. Selain itu, ada protokol di Arbitrum, Base, Sonic, dan total tujuh blockchain publik yang terpengaruh oleh tindakan serangan ini.

Menghadapi bencana yang tidak terduga ini, industri menghadapi pilihan yang sulit: apakah seharusnya tetap pada prinsip desentralisasi “kode adalah hukum” dan membiarkan dana pengguna dicuri? Atau harus mengambil langkah intervensi terpusat untuk melindungi pengguna?

Berachain yang paling parah terkena dampak membuat keputusan yang paling radikal dan juga paling kontroversial: mengoordinasikan node validasi, menghentikan seluruh operasi jaringan. Dengan membatalkan transaksi, Berachain menyelamatkan lebih dari 12 juta dolar aset yang menghadapi risiko di bursa BEX.

Tentu saja, ini juga tidak terhindarkan memicu kontroversi di komunitas, ada yang mempertanyakan: “Apakah ini tidak akan merusak finalitas dan keamanan 'rantai' kalian sepenuhnya? Sekarang ini lebih mirip dengan rantai pribadi daripada blockchain publik, kan?” Terkait hal ini, co-founder anonim Berachain, Smokey the Bera, menjawab: “Saya pikir kekhawatiranmu adalah wajar, tetapi saya percaya situasi ekstrem memerlukan langkah-langkah ekstrem — kita juga telah melihat pendekatan serupa di kasus-kasus sebelumnya seperti Sui dan Hyperliquid.”

Sebagian besar anggota komunitas masih mendukung keputusan ini, karena dampak negatif dari dana yang hilang mungkin jauh lebih besar daripada keyakinan akan “desentralisasi” yang disebutkan.

Sonic Chain mengaktifkan mekanisme “pembekuan akun di atas rantai”, yang mengunci dompet penyerang dan dana sebesar 3,4 juta dolar AS tanpa menghentikan jaringan. Node validator Polygon mulai secara aktif “meninjau” transaksi dari alamat penyerang.

Telah terjadi beberapa insiden kerentanan, TVL terpotong setengah menyebabkan krisis kepercayaan

Sejarah perkembangan Balancer, sebenarnya juga merupakan sejarah permainan terus-menerus dengan berbagai celah logika yang kompleks. Sebelumnya, Balancer telah beberapa kali menjadi korban serangan hacker, dari tahun 2020 hingga 2025, setidaknya telah terjadi lima insiden celah. Metode serangan ini mulai dari serangan pinjaman kilat yang paling awal hingga celah kolam V2 yang lebih kompleks.

Namun, dalam kasus-kasus sebelumnya, jumlah kerugian umumnya berkisar antara puluhan ribu dolar hingga 2 juta dolar. Bagi Balancer, peristiwa serangan di masa lalu lebih seperti kesempatan untuk memperbaiki celah. Namun, tragedi kali ini yang diperkirakan menyebabkan kerugian lebih dari 100 juta, secara langsung menghancurkan kepercayaan dan keyakinan pasar terhadap Balancer.

Menurut data dari Defillama, setelah serangan terjadi, TVL Balancer langsung turun dari 776 juta dolar AS menjadi 345 juta dolar AS, dengan penurunan lebih dari setengah. Terutama, TVL Balancer V2 langsung berkurang 230 juta dolar AS, dan protokol fork Balancer V2 juga menarik dana dari pool, di mana TVL Gaming DEX turun 87% dalam satu hari, sedangkan Beets DEX turun 48%.

Lido juga menyatakan bahwa meskipun protokol Lido tidak terpengaruh, namun demi kehati-hatian, mereka telah menarik posisi Balancer yang tidak terpengaruh.

Sebenarnya, protokol fork seperti Gaming DEX juga menyatakan setelah kejadian bahwa mereka tidak terpengaruh secara nyata, hanya menarik sebagian besar dana untuk pertimbangan keamanan.

Untuk protokol DeFi, kepercayaan lebih penting daripada emas, terutama dalam konteks sejarah yang sering mengalami serangan. Hingga 4 November, menurut informasi resmi, StakeWise DAO telah berhasil memulihkan lebih dari 20 juta dolar dari tangan peretas melalui panggilan kontrak multi-tanda tangan. Ini juga menyebabkan jumlah kerugian yang terdampak turun menjadi 98 juta dolar. Sementara itu, transfer aset peretas masih berlangsung, dan lebih dari setengahnya telah ditukar menjadi ETH.

Serangan senilai 128 juta dolar AS ini menjadi pelajaran mahal yang harus dilalui dalam proses pertumbuhan DeFi, serta mengajukan tiga pertanyaan tajam.

1. Ketika 11 audit dari “Standar Emas” tidak dapat menemukan celah fatal yang telah terpendam selama dua tahun, apa arti dari “audit”?

2. Ketika “penyakit infeksi kode” menjadi norma, sebuah celah dalam protokol dasar dapat dengan cepat menghancurkan 27 protokol turunan, apakah komposabilitas DeFi adalah inovasi atau kutukan?

3. Ketika blockchain baru terpaksa memilih antara “desentralisasi” dan “menyelamatkan pengguna”, apakah ideal “kode adalah hukum” telah memberikan jalan bagi “desentralisasi yang pragmatis”?

Di masa depan, keamanan DeFi mungkin tidak lagi hanya bergantung pada lebih banyak audit, tetapi pada desain protokol yang lebih sederhana, lebih kuat, dan secara fundamental mengurangi permukaan serangan. Dan bagi mereka yang kehilangan kepercayaan dan modal dalam peristiwa ini, harga dari pemahaman ini sangat berat.