Hacker Curi Lebih dari $120 Juta dari Protokol DeFi Balancer
Balancer Protocol, salah satu platform DeFi (Decentralized Finance) terbesar di jaringan Ethereum, dikonfirmasi menjadi korban peretasan besar dengan total kerugian mencapai lebih dari $128 juta (sekitar Rp2 triliun).
💥 Eksploitasi Balancer V2 Pools
Insiden terjadi pada 3 November 2025 pukul 07:48 UTC, menargetkan Composable Stable Pools di Balancer V2, sementara versi V3 dan pool lainnya aman.
Balancer segera memperingatkan pengguna untuk tidak berinteraksi dengan smart contract yang mencurigakan dan mewaspadai penipuan phishing yang muncul setelah insiden ini.
“Tim kami bekerja sama dengan para peneliti keamanan terkemuka untuk memahami akar masalah ini,” tulis Balancer dalam pembaruan resminya.
🧮 Penyebab Teknis: Precision Rounding Error
Menurut analisis dari GoPlus Security, eksploitasi ini disebabkan oleh kesalahan pembulatan (rounding error) dalam perhitungan swap di Vault Balancer.
Setiap kali pengguna melakukan pertukaran token, jumlah token dibulatkan ke bawah, menciptakan selisih kecil yang bisa dimanfaatkan berulang kali.
Penyerang kemudian menggabungkan banyak transaksi (batchSwap) untuk memperbesar selisih tersebut hingga menyebabkan distorsi harga besar dan mencuri aset dari pool likuiditas.
Namun, pakar lain seperti Aditya Bajaj berpendapat bahwa akar masalahnya adalah manipulasi kontrak vault melalui penanganan otorisasi dan callback yang tidak aman, memungkinkan penyerang melakukan swap tanpa izin dan manipulasi saldo lintas pool.
Hingga kini, metode serangan pasti masih diselidiki. Balancer berjanji akan merilis laporan post-mortem lengkap setelah investigasi selesai.
🔍 Balancer V2 Sudah Pernah Diaudit 11 Kali
Sejak diluncurkan pada 2021, Balancer V2 telah menjalani 11 audit keamanan dari berbagai lembaga independen dengan cakupan berbeda.
Namun, serangan ini membuktikan bahwa audit tidak menjamin perlindungan mutlak, terutama terhadap eksploitasi logika kontrak pintar (smart contract logic flaw) yang kompleks.
🎭 Phishing “White-Hat Bounty” Palsu
Di tengah kekacauan, muncul pihak tak dikenal yang menyamar sebagai tim Balancer, mengirim pesan kepada peretas dan menawarkan “white-hat bounty” sebesar 20% dari dana curian jika mereka bersedia mengembalikan sisanya ke alamat tertentu.
Pesan tersebut bahkan mencantumkan ancaman dan batas waktu palsu, serta klaim palsu bahwa mereka bekerja sama dengan otoritas dan ahli forensik blockchain.
Pesan phishing itu berisi kalimat:
“Kami memiliki metadata akses dan alamat IP yang mengarah ke Anda, bekerja sama dengan lembaga penegak hukum.”
Taktik ini meniru gaya negosiasi white-hat recovery yang sah, namun tujuannya jelas untuk menipu pelaku dan mencuri kembali dana curian ke alamat milik penipu.
💰 Salah Satu Peretasan DeFi Terbesar Tahun 2025
Dengan total kerugian mencapai lebih dari $128 juta, serangan ini menjadi salah satu peretasan kripto terbesar tahun 2025.
Meskipun belum ada atribusi resmi, analis keamanan menilai kelompok peretas asal Korea Utara kemungkinan terlibat, mengingat pola serangan serupa terhadap entitas DeFi sebelumnya.
Menurut data Chainalysis dan Elliptic, total aset kripto yang dicuri oleh aktor siber Korea Utara sepanjang 2025 telah melampaui $2 miliar, termasuk insiden Bybit Februari lalu senilai $1,5 miliar.
⚙️ Tentang Balancer
Balancer adalah protokol automated market maker (AMM) dan lapisan likuiditas DeFi di Ethereum, memungkinkan pengguna untuk:
- Menyediakan likuiditas dan memperoleh imbalan,
- Menukar aset token ERC-20 secara otomatis,
- Mengatur kombinasi token khusus dalam satu pool.
Token BAL berfungsi sebagai token tata kelola (governance token) dengan kapitalisasi pasar sekitar $65 juta sebelum serangan terjadi.
Sumber: BleepingComputer, GoPlus Security, Balancer, Elliptic
