Balancer Protokolü hack'i: ne oldu?

Ethereum'un en köklü otomatik piyasa yapıcılarından biri olan Balancer, şimdiye kadarki en büyük istismarı gibi görünen bir olaya maruz kaldı.

Kripto ekosistemine şok dalgaları gönderen karmaşık bir saldırıyla kasalarından 100 milyon dolardan fazla dijital varlık çekildi.

Balancer kasalarından milyonlar çekildi

3 Kasım 2025'te, zincir üstü verilerin Balancer'ın ana kasa sözleşmesinden büyük çıkışlar göstermesinin ardından blockchain güvenlik firmaları alarm vermeye başladı.

PeckShield'a göre, osETH, WETH ve wstETH dahil olmak üzere 128 milyon doların üzerinde varlık, Balancer'ın "0xBA1... BF2C8" adresine ekleyin.

Çalınan varlıklar hızla harici cüzdanlara taşındı ve bir ana cüzdan birden fazla zincirde on milyonlarca doları birleştirdi.

Balancer kısa süre sonra "Balancer V2 havuzlarını etkileyen potansiyel bir istismarın" farkında olduğunu doğruladı ve mühendislik ve güvenlik ekiplerinin acilen soruşturma yürüttüğünü belirtti.

Bu istismar, her Balancer havuzundaki tüm tokenleri ayrı havuz sözleşmeleri yerine merkezi bir sözleşmede tutan Balancer'ın sürüm 2 kasalarını etkiledi.

Havuz oluşturma ve yönetimini basitleştirmek için tanıtılan bu tasarım, artık saldırganların yararlandığı tek bir güvenlik açığı noktası oluşturmuş gibi görünüyor.

İstismar nasıl çalıştı?

Güvenlik firmaları Decurity ve PeckShield tarafından yapılan ilk analizler, Balancer'ın manageUserBalance işlevinde hatalı bir erişim kontrolüne işaret ediyor.

Hata, msg.sender'ı kullanıcı tarafından sağlanan bir op.sender ile yanlış bir şekilde karşılaştıran validateUserBalanceOp kontrolünden kaynaklandı.

Bu mantıksal kusur, saldırganların UserBalanceOpKind.WITHDRAW_INTERNAL işlemini kullanarak yetkisiz dahili para çekme işlemlerini tetiklemesine olanak tanıdı ve böylece Balancer'ın çekirdek kasasından izinsiz olarak para çekmelerine olanak tanıdı.

BlockSec Phalcon daha sonra istismarın arkasındaki mekanizmalara daha derin bir bakış sağladı .

Firma bunu, Balancer Pool Token (BPT) fiyatlarını hesaplamak için kullanılan değişmezi manipüle eden son derece karmaşık bir saldırı olarak tanımladı.

Örneğin Arbitrum'da saldırgan, yuvarlama hatalarından yararlanarak havuzun fiyat hesaplamasını bozan bir dizi takas gerçekleştirdi.

Saldırgan, BPT fiyatını düşürerek toplu takastan kâr elde edebildi ve ardından bakiyeyi yeniden sağlayarak bu süreçte milyonları cebe indirdi.

Saldırının etkisi zincirlere ve çatallara yayılıyor

Balancer saldırısı Ethereum ile sınırlı değildi.

Analistler Sonic, Polygon ve Base dahil olmak üzere çeşitli zincirlerde koordineli çıkışlar gözlemledi.

Balancer'ın altyapısına dayanan çatallanmış projeler de darbe aldı. Böyle bir çatal olan Beets Finance, yaklaşık 3 milyon dolarlık zararı doğruladı.

Cyvers Alerts, saldırganın cüzdanlarından birinin, istismar başlamadan önce Tornado Cash aracılığıyla finanse edildiğini bildirdi.

Adres daha sonra birden fazla zincirden 84 milyon dolardan fazla para aldı ve bu durum, merkezi olmayan karıştırıcılar ve zincirler arası köprüler yoluyla potansiyel aklama konusunda ciddi endişelere yol açtı.

Kaosun ortasında, üç yılı aşkın süredir aktif olmayan bir balina cüzdanı, görünüşe göre durumun daha da kötüleşebileceği korkusuyla Balancer'dan 6,5 milyon dolar çekti.

Balancer için üçüncü büyük hack

Bu son istismar, Balancer'ın 2020'den bu yana üçüncü büyük ihlalini işaret ediyor.

İlki deflasyonist tokenleri içeriyordu ve yaklaşık 500.000 dolara mal olurken, 2023'teki ikincisi "güçlendirilmiş havuzları" hedef aldı ve yaklaşık 900.000 dolar kayıpla sonuçlandı.

Bu sefer ölçek katlanarak daha büyük ve bu da onu 2025'in en zarar verici DeFi saldırılarından biri haline getiriyor.

Balancer'ın yerel BAL tokeni haberlere sert tepki vererek gün içinde %10'dan fazla ve haftalık en yüksek seviyesinden %15'in üzerinde düşüş yaşadı.

Saldırıdan önce toplam değeri 750 milyon dolardan fazla kilitli olan olay, karmaşık akıllı sözleşme sistemlerinin riskleri ve birbirine bağlı DeFi altyapısının kırılganlığı konusunda endişeleri yeniden gündeme getiriyor.

Soruşturma devam ediyor

Şu an itibariyle Balancer'ın ekibi ayrıntılı bir otopsi yayınlamadı, ancak birden fazla güvenlik firmasında soruşturmalar devam ediyor.

Saldırganın cüzdanı aktif olmaya devam ediyor ve çalınan fonların hiçbiri kurtarılamadı.

Analistler, Balancer çatallarında veya entegre protokollerde benzer güvenlik açıklarının mevcut olması durumunda daha fazla kaybın yaşanabileceği konusunda uyarıyor.