5 tahun 6 kali kecelakaan kehilangan lebih dari 100 juta, sejarah kedatangan hacker pada protokol DeFi lama Balancer

Ditulis oleh: David, Deep Tide TechFlow

Atap bocor justru kebetulan hujan malam, hacker selalu memilih saat penurunan.

Dalam kondisi pasar kripto yang lesu baru-baru ini, protokol DeFi lama kembali mengalami pukulan berat.

Pada 3 November, data on-chain menunjukkan bahwa protokol Balancer diduga mengalami serangan hacker. Sekitar 7,090 juta dolar aset telah dipindahkan ke dompet baru, termasuk 6,850 osETH, 6,590 WETH, dan 4,260 wstETH.

Kemudian, menurut pemantauan alamat dompet terkait oleh Lookonchain, jumlah total kerugian yang dialami oleh protokol akibat serangan telah meningkat menjadi 116,6 juta dolar.

Dan tim Balancer menyatakan setelah acara:

“Telah ditemukan kemungkinan serangan kerentanan yang dapat mempengaruhi kolam Balancer v2, tim teknik dan keamanan sedang menyelidiki kejadian ini dengan prioritas tinggi dan akan membagikan pembaruan yang telah diverifikasi dan langkah-langkah selanjutnya setelah mendapatkan informasi lebih lanjut.”

Selain itu, pihak resmi juga menyatakan bersedia membayar 20% dari aset yang dicuri sebagai hadiah white hat untuk memulihkan aset tersebut, berlaku dalam 48 jam.

Responsnya sangat cepat, tetapi juga sangat resmi.

Namun, jika Anda adalah pemain DeFi lama, Anda pasti tidak akan terkejut dengan judul “Balancer dibobol”, melainkan merasakan semacam deja vu yang aneh.

Sebagai protokol DeFi yang telah berdiri sejak tahun 2020, Balancer telah mengalami 6 insiden keamanan dalam 5 tahun, rata-rata sekali setiap tahun menjadi tontonan kedatangan peretas, dan kali ini hanya merupakan salah satu yang memiliki jumlah pencurian terbesar.

Melihat kembali sejarah, ketika kondisi pasar membuat kesulitan perdagangan menjadi tingkat neraka, sangat mungkin ada arbitrase hasil di DeFi yang juga tidak aman.

Juni 2020: Kerentanan token deflasi, kerugian sekitar 520.000 dolar AS

Pada bulan Maret 2020, Balancer memasuki dunia DeFi dengan konsep inovatif “pembuat pasar otomatis yang fleksibel”. Namun, hanya tiga bulan kemudian, protokol ambisius ini menghadapi mimpi buruk pertamanya.

Penyerang memanfaatkan kerentanan dalam penanganan token deflasi (Deflationary Token) oleh protokol, mengakibatkan kerugian sekitar 520.000 dolar AS.

Prinsip umumnya adalah, saat itu ada token bernama STA yang setiap kali transfer secara otomatis akan menghancurkan 1% sebagai biaya transaksi.

Penyerang meminjam 104.000 ETH dari pinjaman kilat dYdX, kemudian melakukan perdagangan berulang kali antara STA dan ETH sebanyak 24 kali. Karena Balancer tidak menghitung saldo aktual setelah setiap transfer dengan benar, STA di dalam kolam akhirnya habis hingga tersisa hanya 1 wei. Setelah itu, penyerang memanfaatkan ketidakseimbangan harga yang parah untuk menukar sejumlah kecil STA dengan banyak ETH, WBTC, LINK, dan SNX.

Maret 2023: Peristiwa Euler terkena dampak, kerugian sekitar 11,9 juta dolar AS

Kali ini Balancer adalah korban tidak langsung.

Euler Finance mengalami serangan pinjaman kilat senilai $197 juta, kolam bb-e-USD dari Balancer terpengaruh karena memiliki eToken dari Euler.

Ketika Euler diserang, sekitar 11,9 juta dolar AS dipindahkan dari kolam bb-e-USD Balancer ke Euler, yang mencakup 65% dari TVL kolam tersebut. Meskipun Balancer segera menghentikan kolam yang terkait, kerugian telah terjadi dan tidak dapat diperbaiki.

Agustus 2023: Kerentanan akurasi kolam Balancer V2, kerugian sekitar 2,1 juta dolar AS

Serangan kali ini sebenarnya sudah ada tanda-tandanya sebelumnya. Pada 22 Agustus tahun lalu, Balancer secara aktif mengungkapkan kerentanan dan memperingatkan pengguna untuk menarik investasi, tetapi 5 hari kemudian serangan tetap terjadi.

Kerentanan ini melibatkan kesalahan pembulatan pada V2 Boosted Pool. Penyerang dengan cermat memanipulasi perhitungan pasokan BPT (Balancer Pool Token) sehingga terjadi penyimpangan, sehingga mereka dapat menarik aset dari pool dengan tarif yang tidak sah. Serangan ini dilakukan melalui beberapa transaksi pinjaman kilat, dengan perkiraan kerugian dari berbagai perusahaan keamanan berkisar antara 979.000 hingga 2,1 juta dolar.

September 2023: Serangan peretasan DNS, kerugian sekitar 240.000 dolar AS

Ini adalah serangan rekayasa sosial, dengan target bukan kontrak pintar tetapi infrastruktur internet tradisional.

Hacker menggunakan teknik rekayasa sosial untuk membobol pendaftar domain EuroDNS, mengambil alih domain balancer.fi. Pengguna dialihkan ke situs phishing, yang menggunakan kontrak jahat Angel Drainer untuk menipu pengguna agar memberikan otorisasi transfer.

Penyerang kemudian mencuci uang curian tersebut melalui Tornado Cash.

Meskipun ini bukan kesalahan Balancer itu sendiri, tetapi popularitas yang besar membuatnya menjadi sasaran, dan penggunaan merek protokol tersebut untuk phishing juga membuat orang sulit untuk menghindarinya.

Juni 2024: Velocore dibobol, kerugian sekitar 6,8 juta dolar AS

Meskipun Velocore adalah proyek independen, pencurian itu sebenarnya tidak ada hubungannya dengan Balancer. Namun, sebagai fork dari Balancer, Velocore menggunakan desain kolam CPMM (Constant Product Market Maker) yang sama, sehingga dalam beberapa hal dapat dikatakan berasal dari satu garis keturunan, lebih mirip mencuri di tempat lain, tetapi mekanismenya ada di Balancer.

Kronologi kejadian kali ini, kemungkinan adalah penyerang memanfaatkan celah overflow dalam kontrak kolam CPMM Velocore yang berbasis Balancer, dengan memanipulasi faktor biaya (feeMultiplier) sehingga melebihi 100%, yang mengakibatkan kesalahan perhitungan.

Penyerang akhirnya mencuri sekitar 6,8 juta dolar AS melalui pinjaman kilat yang dipadukan dengan operasi penarikan yang dirancang dengan cermat.

November 2025: Serangan terbaru, kerugian lebih dari seratus juta

Prinsip teknis dari serangan ini telah dipahami secara awal. Menurut analisis peneliti keamanan, celah terletak pada pemeriksaan kontrol akses dari fungsi manageUserBalance dalam protokol Balancer V2, yang juga berkaitan dengan pemeriksaan hak akses pengguna.

Menurut analisis dari lembaga pemantauan keamanan Defimon Alerts dan Decurity, sistem seharusnya memeriksa apakah pemanggil adalah pemilik asli akun saat memverifikasi izin penarikan Balancer V2, tetapi kode secara keliru memeriksa apakah msg.sender (pemanggil sebenarnya) sama dengan parameter op.sender yang disediakan oleh pengguna.

Karena op.sender adalah parameter input yang dapat dikontrol oleh pengguna, penyerang dapat dengan bebas memalsukan identitas, melewati verifikasi izin, dan melakukan operasi WITHDRAW_INTERNAL (penarikan internal).

Artinya, celah ini memungkinkan siapa saja untuk menyamar sebagai pemilik akun mana pun dan langsung menarik saldo internal. Kesalahan kontrol akses dasar seperti ini lebih mirip kesalahan tingkat rendah, muncul dalam protokol yang sudah berjalan selama 5 tahun, sangat mengejutkan.

Pembicaraan Setelah Membaca Sejarah Penjagaan Hacker

Apa yang bisa kita pelajari dari “sejarah kunjungan hacker” ini?

Pengalaman penulis adalah, protokol DeFi di dunia kripto lebih mirip dengan “dapat dilihat dari jauh tetapi tidak dapat dimainkan sembarangan”, terlihat tenang dari jauh, tetapi jika benar-benar ingin diteliti secara mendalam, ada banyak utang teknis di luar narasi yang mungkin perlu dilunasi.

Misalnya, protokol DeFi Balancer yang sudah lama ada, jika kita melihat salah satu inovasinya, tentu tidak bisa tidak menyebutkan kemampuan untuk membuat kolam campuran dengan bobot kustom yang memungkinkan hingga 8 jenis token.

Berkaitan dengan desain sederhana Uniswap, kompleksitas Balancer tumbuh dengan eksponensial.

Setiap kali jenis token baru ditambahkan, ruang status kolam akan berkembang pesat. Ketika Anda mencoba menyeimbangkan harga, bobot, dan likuiditas dari 8 jenis token yang berbeda dalam satu kolam, permukaan serangan juga akan meluas. Serangan token deflasi pada tahun 2020 dan celah pembulatan pada tahun 2023 pada dasarnya adalah akibat dari penanganan kondisi batas yang tidak tepat akibat kompleksitas.

Lebih parah lagi, Balancer memilih jalur pengembangan dengan iterasi cepat. Dari V1 ke V2, kemudian ke berbagai Boosted Pool, setiap peningkatan menambahkan fitur baru pada kode lama. Akumulasi “hutang teknologi” ini membuat repositori kode menjadi seperti menara balok yang rapuh;

Misalnya, serangan baru-baru ini yang disebabkan oleh masalah izin, kesalahan desain yang begitu mendasar seharusnya bukanlah masalah yang dihasilkan oleh protokol yang telah beroperasi selama 5 tahun, mungkin dalam beberapa hal juga menunjukkan bahwa pemeliharaan kode proyek telah tidak terkendali.

Atau mungkin, dalam narasi, profit, dan emosi yang lebih besar daripada teknologi saat ini, apakah ada celah di kode dasar sudah tidak penting lagi.

Balancer tentu bukan yang terakhir, Anda tidak pernah tahu kapan black swan yang ditumpuk karena berbagai kombinabilitas DeFi akan datang. Jaringan ketergantungan yang kompleks di dunia DeFi membuat penilaian risiko menjadi hampir mustahil.

Bahkan jika Anda mempercayai kode Balancer, dapatkah Anda mempercayai semua integrasi dan mitranya?

Bagi pengamat, DeFi adalah eksperimen sosial yang menarik; bagi peserta, pencurian DeFi adalah pelajaran mahal; bagi seluruh industri, kesehatan DeFi adalah biaya yang harus dibayar untuk mencapai kedewasaan.

Hanya biaya kuliah ini, semoga tidak terlalu mahal.