"Setiap kali kontrak jangka panjang seperti ini diserang, adopsi DeFi mundur enam hingga dua belas bulan." Pandangan ini disampaikan oleh Hasu, Strategy Lead di Flashbots sekaligus Strategic Advisor untuk Lido, menyusul peretasan terbaru yang menimpa Balancer.
Pada 3 November, protokol DeFi veteran Balancer mengalami peretasan besar yang belum pernah terjadi sebelumnya, dengan kerugian hingga $116,6 juta.
Jumlah besar ini dengan cepat disedot melalui celah cross-chain callback pada smart contract pool Balancer V2. Per 4 November, pelaku masih aktif menukar aset curian menjadi ETH melalui Cow Protocol.
01 Rekap Insiden: Dana Besar Lenyap Seketika
Serangan terhadap Balancer mengguncang dunia kripto pada 3 November, dengan estimasi kerugian awal sekitar $70 juta, dan angka tersebut terus meningkat.
Saat artikel ini ditulis, total kerugian telah mencapai $116,6 juta, menjadikannya insiden keamanan paling parah dalam sejarah Balancer.
Data on-chain mengungkapkan bahwa aset utama yang dicuri adalah token liquid staking, termasuk WETH, wstETH, osETH, frxETH, rsETH, rETH, dan lainnya.
Aset-aset ini tersebar di berbagai chain—ETH, Base, Sonic—dengan Ethereum mengalami dampak terbesar, yakni hampir $100 juta kerugian.
02 Analisis Kerentanan: Bencana Akibat Kesalahan Sederhana
Peneliti keamanan dengan cepat mengidentifikasi akar masalahnya. Menurut Defimon Alerts dan Decurity, isu terletak pada pemeriksaan kontrol akses di fungsi manageUserBalance pada protokol Balancer V2.
Saat memverifikasi izin penarikan, sistem seharusnya memastikan bahwa pemanggil adalah pemilik akun sebenarnya. Namun, kode justru memvalidasi apakah msg.sender (pemanggil aktual) sesuai dengan parameter op.sender yang diberikan pengguna.
Karena op.sender adalah input yang dikendalikan pengguna, penyerang dapat dengan mudah memalsukan identitas dan melewati pemeriksaan izin.
Fakta bahwa kesalahan kontrol akses mendasar seperti ini muncul pada protokol yang telah berjalan lima tahun membuat para ahli keamanan terkejut.
03 Perspektif Historis: Enam Insiden Keamanan dalam Enam Tahun
Jika judul "Balancer Diretas" terdengar familiar, Anda tidak sendiri. Ini adalah insiden keamanan besar keenam yang menimpa Balancer dalam lima tahun terakhir.
Sejarah keamanan Balancer menunjukkan gambaran yang mengkhawatirkan:
- Juni 2020: Kerentanan token deflasi, kerugian sekitar $520.000
- Maret 2023: Kerugian tidak langsung akibat insiden Euler, sekitar $11,9 juta
- Agustus 2023: Bug presisi pool V2, sekitar $2,1 juta
- September 2023: Serangan pembajakan DNS, sekitar $240.000
- Juni 2024: Proyek fork Velocore diretas, sekitar $6,8 juta
Rangkaian pelanggaran keamanan ini menunjukkan rapuhnya pertahanan, tidak hanya di Balancer, tetapi juga di ekosistem DeFi secara keseluruhan.
04 Dampak Pasar: Kepercayaan Runtuh dan Harga Anjlok
Pasar bereaksi dengan cepat dan tajam. Menurut CoinMarketCap, token BAL (Balancer) turun 7,13% pada 3 November, ditutup di $0,92.
Kapitalisasi pasar BAL saat ini sekitar $62,2 juta, turun sekitar $4,78 juta dibanding hari sebelumnya. Data platform Gate menunjukkan harga BAL telah berada di bawah tekanan dalam waktu yang cukup lama.
Kepercayaan terhadap keamanan Balancer sangat terguncang, investor pun aktif mengatur ulang posisi dan tekanan jual besar mulai muncul.
Fakta menarik: LookonChain melaporkan bahwa seorang whale kripto yang telah tidur selama tiga tahun tiba-tiba aktif setelah insiden Balancer, buru-buru menarik aset senilai $6,5 juta dari platform.
05 Efek Domino Industri: Langkah Darurat dan Operasi Dihentikan
Sebagai respons atas krisis, sejumlah proyek yang terintegrasi dengan Balancer mengambil langkah cepat:
- Lido menarik posisi Balancer yang tidak terdampak
- Berachain mengumumkan penghentian jaringan penuh untuk hard fork darurat guna menambal kerentanan BEX yang terkait dengan Balancer V2
- Pendiri Berachain, Smokey The Bera, menyatakan tim Ethena menonaktifkan bridging Bera dan menghentikan operasi pasar terkait
Langkah-langkah ini menegaskan peran sentral Balancer dalam ekosistem DeFi dan menunjukkan bagaimana satu kerentanan protokol dapat memicu risiko sistemik.
06 Masa Depan Keamanan DeFi: Dari Utang Teknis ke Manajemen Risiko
Salah satu inovasi Balancer—memungkinkan hingga delapan token dengan bobot khusus dalam satu pool—ternyata menjadi titik lemahnya.
Dibandingkan desain sederhana Uniswap, kompleksitas Balancer meningkat secara eksponensial. Setiap penambahan token memperluas ruang status pool dan permukaan serangan secara drastis.
Balancer memilih iterasi cepat, menambah fitur baru di atas kode lama dari V1 ke V2 dan Boosted Pools.
Akumulasi "utang teknis" ini menjadikan basis kode seperti tumpukan balok yang rapuh.
Pada 2025, keamanan DeFi menghadapi tantangan baru. Serangan TEE.Fail menunjukkan bahwa bahkan keamanan level perangkat keras dapat ditembus dengan alat seharga hanya $1.000.
Vektor serangan kini bergeser dari bug smart contract ke kerentanan operasional, di mana 80,5% kerugian berasal dari phishing, airdrop palsu, dan kebocoran private key—ancaman yang berasal dari luar rantai.
Untuk mengatasi risiko ini, inovasi seperti kriptografi zero-knowledge dan dompet multisig telah membantu menurunkan kerugian akibat eksploitasi hingga 90% sejak 2020.
07 Panduan Investor: Melangkah dengan Hati-hati di Tengah Risiko
Bagi investor, insiden ini menjadi pengingat penting. Menavigasi lanskap DeFi membutuhkan kewaspadaan:
- Tarik dana dari pool terdampak: Segera keluarkan dana dari pool Balancer V2 untuk mencegah kerugian lanjutan
- Cabut otorisasi: Gunakan Revoke, DeBank, atau Etherscan untuk membatalkan izin smart contract pada alamat Balancer
- Prioritaskan proyek yang diaudit: Pilih protokol yang menggabungkan audit smart contract dengan pemantauan real-time dan circuit breaker
- Gunakan dompet multisig: Kurangi risiko titik kegagalan tunggal, terutama untuk kepemilikan besar
Melangkah ke Depan
Per 4 November, pembaruan terbaru menunjukkan pelaku peretasan Balancer masih aktif menukar token liquid staking hasil curian menjadi ETH melalui Cow Protocol. Analis on-chain mengamati pelaku mengonversi aset lintas chain menjadi ETH, USDC, dan token utama lainnya.
Tim resmi Balancer menawarkan bounty white-hat sebesar 20% untuk pengembalian aset curian, berlaku selama 48 jam. Namun, harapan pemulihan kian menipis.
Bagi pengamat, DeFi tetap menjadi eksperimen sosial yang baru; bagi peserta, setiap eksploitasi adalah pelajaran mahal; bagi industri, membangun ekosistem DeFi yang tangguh adalah harga menuju kedewasaan.
