Balancer Protocol hack: wat is er gebeurd?

Balancer, een van Ethereum's meest gevestigde geautomatiseerde marktmakers, heeft te maken gehad met wat de grootste exploit ooit lijkt te zijn.

Meer dan $100 miljoen aan digitale activa werd uit de kluizen gehaald in een geavanceerde aanval die schokgolven door het crypto-ecosysteem heeft gestuurd.

Miljoenen weggezogen uit Balancer-kluizen

Op 3 november 2025 begonnen blockchain-beveiligingsbedrijven alarm te slaan nadat on-chain gegevens een enorme uitstroom uit het hoofdkluiscontract van Balancer lieten zien.

Volgens PeckShield werd meer dan $ 128 miljoen aan activa - waaronder osETH, WETH en wstETH - teruggetrokken uit Balancer's "0xBA1... BF2C8" adres.

De gestolen activa werden snel verplaatst naar externe portemonnees, waarbij één hoofdportemonnee tientallen miljoenen dollars consolideerde in meerdere ketens.

Balancer bevestigde al snel dat het op de hoogte was van een "mogelijke exploit die van invloed is op Balancer V2-pools", en verklaarde dat de engineering- en beveiligingsteams met spoed onderzoek deden.

De exploit had invloed op de kluizen van versie 2 van Balancer, die alle tokens van elke Balancer-pool in een centraal contract bevatten in plaats van in afzonderlijke poolcontracten.

Dit ontwerp, geïntroduceerd om het maken en beheren van pools te vereenvoudigen, lijkt nu een enkel kwetsbaarheidspunt te hebben gecreëerd waar aanvallers misbruik van maakten.

Hoe de exploit werkte

Vroege analyse door beveiligingsbedrijven Decurity en PeckShield wijst op een defecte toegangscontrole in de manageUserBalance-functie van Balancer.

De bug is afkomstig van de validateUserBalanceOp-controle, die msg.sender ten onrechte vergeleek met een door de gebruiker opgegeven op.sender.

Deze logische fout stelde aanvallers in staat om ongeoorloofde interne opnames te activeren met behulp van de UserBalanceOpKind.WITHDRAW_INTERNAL-operatie, waardoor ze effectief geld uit de kernkluis van Balancer konden halen zonder toestemming.

BlockSec Phalcon gaf later een diepere kijk op de mechanica achter de exploit.

Het bedrijf beschreef het als een zeer geavanceerde aanval die de invariant manipuleerde die werd gebruikt om de prijzen van Balancer Pool Token (BPT) te berekenen.

Op Arbitrum voerde de aanvaller bijvoorbeeld een reeks swaps uit die de prijsberekening van de pool vertekenden door gebruik te maken van afrondingsfouten.

Door de BPT-prijs te laten leeglopen, kon de aanvaller profiteren van een batchruil en vervolgens het evenwicht herstellen, waarbij hij miljoenen in zijn zak stak.

Impact van de hack verspreidt zich over ketens en vorken

De Balancer-aanval was niet beperkt tot Ethereum.

Analisten observeerden een gecoördineerde uitstroom in verschillende ketens, waaronder Sonic, Polygon en Base.

Gevorkte projecten die afhankelijk zijn van de infrastructuur van Balancer werden ook getroffen. Beets Finance, zo'n vork, bevestigde verliezen van ongeveer $ 3 miljoen.

Cyvers Alerts meldde dat een van de portemonnees van de aanvaller was gefinancierd via Tornado Cash voordat de exploit begon.

Het adres ontving vervolgens meer dan $ 84 miljoen over meerdere ketens, wat ernstige bezorgdheid baarde over mogelijk witwassen via gedecentraliseerde mixers en cross-chain bruggen.

Te midden van de chaos trok een walvisportemonnee die al meer dan drie jaar inactief was $ 6,5 miljoen op van Balancer, schijnbaar uit angst dat de situatie zou kunnen verslechteren.

De derde grote hack voor Balancer

Deze laatste exploit markeert de derde grote inbreuk van Balancer sinds 2020.

De eerste betrof deflatoire tokens en kostte ongeveer $500.000, terwijl de tweede in 2023 gericht was op zijn "boosted pools", wat resulteerde in bijna $900.000 aan verliezen.

Deze keer is de schaal exponentieel groter, waardoor het een van de meest schadelijke DeFi-aanvallen van 2025 is.

Het native BAL-token van Balancer reageerde scherp op het nieuws en daalde intraday met meer dan 10% en meer dan 15% ten opzichte van het wekelijkse hoogtepunt.

Met een totale waarde van meer dan $ 750 miljoen die vóór de aanval was vergrendeld, roept het incident hernieuwde bezorgdheid op over de risico's van complexe slimme contractsystemen en de kwetsbaarheid van onderling verbonden DeFi-infrastructuur.

Onderzoek aan de gang

Tot nu toe heeft het team van Balancer geen gedetailleerde autopsie vrijgegeven, hoewel er onderzoeken lopen bij meerdere beveiligingsbedrijven.

De portemonnee van de aanvaller blijft actief en geen van de gestolen fondsen is teruggevonden.

Analisten waarschuwen dat als er soortgelijke kwetsbaarheden bestaan in Balancer-forks of geïntegreerde protocollen, er meer verliezen kunnen volgen.