Hack del protocollo Balancer: cosa è successo?

Balancer, uno dei market maker automatizzati più affermati di Ethereum, ha subito quello che sembra essere il suo più grande exploit di sempre.

Più di 100 milioni di dollari in asset digitali sono stati prosciugati dai suoi caveau in un attacco sofisticato che ha inviato onde d'urto nell'ecosistema delle criptovalute.

Milioni prosciugati dai caveau di Balancer

Il 3 novembre 2025, le società di sicurezza blockchain hanno iniziato a lanciare l'allarme dopo che i dati on-chain hanno mostrato massicci deflussi dal contratto principale di Balancer.

Secondo PeckShield, oltre 128 milioni di dollari di asset, tra cui osETH, WETH e wstETH, sono stati ritirati dal programma "0xBA1... BF2C8".

Gli asset rubati sono stati rapidamente spostati su wallet esterni, con un wallet principale che ha consolidato decine di milioni di dollari su più catene.

Balancer ha presto confermato di essere a conoscenza di un "potenziale exploit che ha un impatto sui pool Balancer V2", affermando che i suoi team di ingegneria e sicurezza stavano indagando con urgenza.

L'exploit ha interessato i vault della versione 2 di Balancer, che contengono tutti i token di ogni pool Balancer in un contratto centrale piuttosto che in contratti di pool separati.

Questa progettazione, introdotta per semplificare la creazione e la gestione dei pool, sembra ora aver creato un singolo punto di vulnerabilità sfruttato dagli utenti malintenzionati.

Come ha funzionato l'exploit

Le prime analisi delle società di sicurezza Decurity e PeckShield indicano un controllo degli accessi difettoso nella funzione manageUserBalance di Balancer.

Il bug ha avuto origine dal controllo validateUserBalanceOp, che ha erroneamente confrontato msg.sender con un op.sender fornito dall'utente.

Questo difetto logico ha permesso agli aggressori di attivare prelievi interni non autorizzati utilizzando l'operazione UserBalanceOpKind.WITHDRAW_INTERNAL, consentendo loro di drenare fondi dal vault principale di Balancer senza autorizzazione.

BlockSec Phalcon ha successivamente fornito uno sguardo più approfondito alle meccaniche alla base dell'exploit.

L'azienda lo ha descritto come un attacco altamente sofisticato che ha manipolato l'invariante utilizzato per calcolare i prezzi dei Balancer Pool Token (BPT).

Su Arbitrum, ad esempio, l'aggressore ha eseguito una serie di swap che hanno distorto il calcolo del prezzo della pool sfruttando errori di arrotondamento.

Sgonfiando il prezzo del BPT, l'aggressore è stato in grado di trarre profitto da uno scambio batch e quindi ripristinare l'equilibrio, intascando milioni nel processo.

L'impatto dell'hack si diffonde su catene e biforcazioni

L'attacco Balancer non si è limitato a Ethereum.

Gli analisti hanno osservato deflussi coordinati su diverse catene, tra cui Sonic, Polygon e Base.

Sono stati colpiti anche i progetti fork che si basano sull'infrastruttura di Balancer. Beets Finance, una di queste forchette, ha confermato perdite di circa 3 milioni di dollari.

Cyvers Alerts ha riferito che uno dei wallet dell'aggressore era stato finanziato tramite Tornado Cash prima dell'inizio dell'exploit.

L'indirizzo ha successivamente ricevuto più di 84 milioni di dollari in più catene, sollevando serie preoccupazioni sul potenziale riciclaggio attraverso mixer decentralizzati e bridge cross-chain.

In mezzo al caos, un wallet whale che era rimasto inattivo per oltre tre anni ha ritirato 6,5 milioni di dollari da Balancer, apparentemente per paura che la situazione potesse peggiorare.

Il terzo grande hack per Balancer

Quest'ultimo exploit segna la terza grande violazione di Balancer dal 2020.

Il primo riguardava token deflazionistici ed è costato circa 500.000$, mentre il secondo nel 2023 ha preso di mira le sue "boosted pool", con conseguenti perdite per quasi 900.000$.

Questa volta, la scala è esponenzialmente più ampia, il che lo rende uno degli attacchi DeFi più dannosi del 2025.

Il token nativo BAL di Balancer ha reagito bruscamente alla notizia, scendendo di oltre il 10% intraday e di oltre il 15% dal suo massimo settimanale.

Con oltre 750 milioni di dollari di valore totale bloccato prima dell'attacco, l'incidente solleva rinnovate preoccupazioni sui rischi dei complessi sistemi di smart contract e sulla fragilità dell'infrastruttura DeFi interconnessa.

Indagine in corso

Al momento, il team di Balancer non ha rilasciato un'autopsia dettagliata, anche se sono in corso indagini su più società di sicurezza.

Il portafoglio dell'aggressore rimane attivo e nessuno dei fondi rubati è stato recuperato.

Gli analisti avvertono che se esistono vulnerabilità simili nei fork o nei protocolli integrati di Balancer, potrebbero seguire ulteriori perdite.