Balancer Protocol-hack: hva skjedde?

Balancer, en av Ethereums mest etablerte automatiserte market makers, har lidd det som ser ut til å være den største utnyttelsen noensinne.

Mer enn 100 millioner dollar i digitale eiendeler ble tappet fra hvelvene i et sofistikert angrep som har sendt sjokkbølger gjennom kryptoøkosystemet.

Millioner tappet fra Balancer-hvelv

3. november 2025 begynte blokkjedesikkerhetsfirmaer å slå alarm etter at data på kjeden viste massive utstrømninger fra Balancers hovedhvelvkontrakt.

I følge PeckShield ble eiendeler verdt over 128 millioner dollar – inkludert osETH, WETH og wstETH – trukket ut fra Balancers «0xBA1 ... BF2C8"-adresse.

De stjålne eiendelene ble raskt flyttet til eksterne lommebøker, med en hovedlommebok som konsoliderte titalls millioner dollar på tvers av flere kjeder.

Balancer bekreftet snart bevissthet om en "potensiell utnyttelse som påvirker Balancer V2-bassenger", og sa at ingeniør- og sikkerhetsteamene undersøkte med hast.

Utnyttelsen påvirket Balancers versjon 2-hvelv, som holder alle tokener fra hver Balancer-pool i en sentral kontrakt i stedet for i separate poolkontrakter.

Denne designen, introdusert for å forenkle oppretting og administrasjon av bassenger, ser nå ut til å ha skapt et enkelt sårbarhetspunkt som angripere utnyttet.

Hvordan utnyttelsen fungerte

Tidlige analyser fra sikkerhetsfirmaene Decurity og PeckShield peker på en defekt tilgangskontroll i Balancers manageUserBalance-funksjon.

Feilen stammer fra validateUserBalanceOp-kontrollen, som feilaktig sammenlignet msg.sender med en brukeroppgitt op.sender.

Denne logiske feilen tillot angripere å utløse uautoriserte interne uttak ved å bruke UserBalanceOpKind.WITHDRAW_INTERNAL-operasjonen – noe som effektivt gjorde dem i stand til å tømme midler fra Balancers kjernehvelv uten tillatelse.

BlockSec Phalcon ga senere en dypere titt på mekanikken bak utnyttelsen.

Firmaet beskrev det som et svært sofistikert angrep som manipulerte invarianten som ble brukt til å beregne Balancer Pool Token (BPT)-priser.

På Arbitrum, for eksempel, utførte angriperen en rekke bytteavtaler som forvrengte poolens prisberegning ved å utnytte avrundingsfeil.

Ved å tømme BPT-prisen var angriperen i stand til å tjene på et batchbytte og deretter gjenopprette balansen, og innkassere millioner i prosessen.

Virkningen av hacket sprer seg over kjeder og gafler

Balancer-angrepet var ikke begrenset til Ethereum.

Analytikere observerte koordinerte utstrømmer på tvers av flere kjeder, inkludert Sonic, Polygon og Base.

Forgrenede prosjekter som er avhengige av Balancers infrastruktur ble også rammet. Beets Finance, en slik gaffel, bekreftet tap på rundt 3 millioner dollar.

Cyvers Alerts rapporterte at en av angriperens lommebøker hadde blitt finansiert gjennom Tornado Cash før utnyttelsen begynte.

Adressen mottok deretter mer enn 84 millioner dollar på tvers av flere kjeder, noe som reiste alvorlige bekymringer om potensiell hvitvasking gjennom desentraliserte miksere og broer på tvers av kjeder.

Midt i kaoset trakk en hvallommebok som hadde vært inaktiv i over tre år 6,5 millioner dollar fra Balancer, tilsynelatende av frykt for at situasjonen kunne forverres.

Det tredje store hacket for Balancer

Denne siste utnyttelsen markerer Balancers tredje store brudd siden 2020.

Den første involverte deflasjonstokens og kostet rundt $500 000, mens den andre i 2023 rettet seg mot sine "boosted pools", noe som resulterte i nesten $900 000 i tap.

Denne gangen er skalaen eksponentielt større – noe som gjør det til et av de mest skadelige DeFi-angrepene i 2025.

Balancers opprinnelige BAL-token reagerte kraftig på nyhetene, og falt mer enn 10 % intradag og over 15 % fra det ukentlige høydepunktet.

Med mer enn 750 millioner dollar i total verdi låst før angrepet, vekker hendelsen fornyet bekymring for risikoen ved komplekse smarte kontraktssystemer og skjørheten til sammenkoblet DeFi-infrastruktur.