Laporan awal Balancer telah dirilis! Kerentanan fungsi pembulatan menyebabkan bencana sebesar 116 juta dolar

DeFi (Keuangan Terdesentralisasi) Balancer merilis laporan analisis awal pasca-serangan, menjelaskan penyebab celah yang menyebabkan pencurian dana sebesar 1,16 miliar dolar AS dari pasar DeFi. Minggu ini, Balancer mengalami serangan kode yang kompleks, mempengaruhi kolam stabil v2 dan kolam stabil v5 Composable, sementara semua jenis kolam lainnya tidak terpengaruh. Serangan ini menunjukkan pemahaman mendalam dari peretas terhadap kode Balancer, mampu mengidentifikasi celah tertentu di jenis kolam tersebut dan menghindari kolam yang lebih aman.

Peretas menggabungkan penggunaan BatchSwaps (yang memungkinkan pengguna menggabungkan beberapa operasi dalam satu transaksi, termasuk pinjaman kilat—pinjaman jangka pendek yang diambil dan dilunasi dalam satu transaksi) dan memanfaatkan fungsi pembulatan (rounding) dalam kolam stabil yang mempengaruhi pertukaran EXACT_OUT. Kombinasi teknik ini adalah kunci kompleksitas serangan.

Fungsi pembulatan dalam sistem keuangan adalah detail teknis kecil namun sangat penting. Fungsi ini biasanya digunakan untuk membulatkan ke bawah saat menentukan harga token, untuk mencegah kesalahan perhitungan akibat kehilangan presisi. Peretas memanipulasi nilai pembulatan ini dan menggabungkannya dengan fitur batch swap untuk mencuri dana dari kolam stablecoin. Tim Balancer menyatakan bahwa “dalam banyak kasus, dana yang dicuri tetap berada dalam saldo internal dan kemudian diekstraksi melalui transaksi lanjutan.”

Strategi serangan ini sangat canggih karena memanfaatkan efek akumulasi dari kesalahan pembulatan yang kecil. Dalam satu transaksi, kesalahan pembulatan mungkin hanya beberapa sen dolar, hampir tidak terlihat. Namun, dengan menggunakan BatchSwaps untuk menggabungkan ribuan transaksi kecil, kesalahan ini terkumpul menjadi jumlah besar. Penggunaan pinjaman kilat memperbesar efek ini, karena memungkinkan peretas melakukan operasi besar tanpa modal awal, meminjam dana besar dalam satu transaksi, melakukan arbitrase, melunasi pinjaman, dan mengambil keuntungan.

Analisis Teknik Serangan

• BatchSwaps: Menggabungkan ribuan operasi kecil ke dalam satu transaksi untuk mengakumulasi kesalahan pembulatan menjadi jumlah besar.
• Pinjaman Kilat (Flash Loans): Memungkinkan manipulasi dana besar tanpa modal awal, memperbesar skala serangan.
• Kerentanan EXACT_OUT: Menargetkan kelemahan fungsi pembulatan dalam pertukaran tertentu, secara tepat menghindari pemeriksaan keamanan lainnya.

Dari sudut pandang teknis, serangan ini mengungkap risiko sistemik dalam penanganan presisi numerik di protokol DeFi. Smart contract harus menyeimbangkan efisiensi perhitungan dan presisi angka, dan keseimbangan ini sering menjadi celah bagi peretas. Desain fungsi pembulatan Balancer berfungsi baik dalam kondisi normal, tetapi dalam operasi ekstrem seperti transaksi batch besar, celah ini terbuka.

Peretas kemungkinan adalah profesional yang sangat terampil, yang mempersiapkan serangan selama berbulan-bulan sebelumnya. Mereka menggunakan sejumlah kecil deposit Tornado Cash (sekitar 0,1 ETH) untuk mendanai serangan agar tidak terdeteksi. Tornado Cash adalah layanan pencampuran cryptocurrency yang menyembunyikan jejak transaksi di blockchain, menjadi alat favorit bagi pelaku kejahatan siber.

Penggunaan deposit kecil ini adalah strategi anti-pelacakan. Peretas tidak mentransfer dana dalam jumlah besar sekaligus (yang akan memicu alarm analisis blockchain), melainkan membagi dana menjadi ratusan atau ribuan transaksi kecil. Strategi ini membuat pelacakan sumber dana sangat sulit, bahkan bagi perusahaan analisis blockchain profesional.

“Persiapan selama berbulan-bulan” menunjukkan bahwa ini adalah serangan yang direncanakan secara matang, bukan serangan oportunistik acak. Peretas kemungkinan menghabiskan waktu mempelajari kode Balancer, menguji vektor serangan, mensimulasikan di lingkungan lokal, dan merancang jalur penarikan dana. Tingkat persiapan ini membutuhkan keahlian teknis mendalam, pemahaman mendalam tentang protokol DeFi, serta keahlian dalam analisis dan pelacakan blockchain.

Menurut Deddy Lavid, CEO Cyvers, perusahaan keamanan blockchain yang memantau transaksi dan mendeteksi aktivitas abnormal, serangan ini adalah salah satu yang paling kompleks sejak 2025. Cyvers menilai bahwa serangan ini sangat inovatif dari segi teknologi, tingkat kerahasiaan, dan ketepatan eksekusi.

Serangan ini mengingatkan kita bahwa dompet panas, kolam likuiditas, dan dana di blockchain yang terbuka rentan terhadap ancaman keamanan yang terus berkembang. Meskipun open-source memberikan transparansi dan audit, hal ini juga memungkinkan siapa saja mempelajari kode dan mencari celah. Ini adalah pedang bermata dua yang menuntut pengembang untuk berasumsi bahwa penyerang memiliki kemampuan teknis yang setara atau bahkan lebih tinggi.

Perkembangan Upaya Pemulihan dan Kolaborasi Komunitas

Balancer bekerja sama dengan mitra keamanan dan protokol kripto untuk memulihkan atau membekukan sebagian dana yang dicuri, termasuk sekitar 19 juta dolar AS dari 5041 ETH yang dipertaruhkan di StakeWise (osETH) dan hingga 2 juta dolar AS dari 13495 osGNO token. Total sekitar 21 juta dolar AS ini mewakili 18% dari total dana yang dicuri, sebuah keberhasilan relatif dalam insiden keamanan DeFi.

Kemampuan untuk memulihkan atau membekukan dana menunjukkan pentingnya kolaborasi dalam ekosistem kripto. Token osETH dan osGNO adalah token dari protokol tertentu, dan tim pengembangnya mampu mengidentifikasi dan membekukan alamat yang mencurigakan. Mekanisme kolaboratif ini sangat penting di lingkungan desentralisasi, di mana tidak ada otoritas pusat yang bisa memaksa pembekuan. Sebaliknya, berbagai protokol harus bekerja sama secara sukarela, berbagi informasi, dan mengambil tindakan koordinasi.

Tim Balancer telah menghentikan semua kolam yang terdampak dan menonaktifkan pembuatan kolam baru yang rentan sampai masalah keamanan terselesaikan. Keputusan ini menyakitkan tetapi perlu, karena membekukan kolam berarti pengguna yang sah tidak dapat mengakses layanan tersebut sementara waktu. Ini dapat merusak pengalaman pengguna dan reputasi protokol, tetapi membiarkan kolam yang memiliki celah tetap berjalan akan menimbulkan risiko kerugian yang lebih besar. Oleh karena itu, penutupan sementara adalah langkah bertanggung jawab.

Balancer menawarkan insentif berupa bounty sebesar 20% untuk para peretas dan pelaku kejahatan yang mengembalikan dana yang dicuri, namun hingga saat ini belum ada yang mengklaim hadiah tersebut. Bounty sebesar 20% berarti sekitar 23 juta dolar AS, jumlah yang cukup besar. Ada beberapa alasan mengapa tidak ada yang mengklaim:

1. Peretas mungkin enggan mengungkap identitas mereka, bahkan demi hadiah. Berurusan dengan penegak hukum atau tim protokol bisa berisiko penangkapan dan tuntutan hukum.
2. Mereka mungkin yakin bisa mencuci uang dan menarik seluruh dana tanpa harus mengembalikan bagian apa pun.
3. Bisa jadi ini adalah operasi terorganisir atau didukung negara, di mana reputasi lebih penting daripada uang.

Ringkasan Tindakan Balancer

• Respon Cepat: Segera menonaktifkan kolam yang terdampak untuk mencegah kerugian lebih lanjut.
• Kolaborasi Komunitas: Bekerja sama dengan protokol seperti StakeWise dan Gnosis untuk membekukan token yang dicuri.
• Komunikasi Transparan: Mengeluarkan laporan awal secara cepat untuk menjelaskan mekanisme serangan dan langkah penanganan.
• Insentif Ekonomi: Menawarkan bounty 20% untuk mengembalikan dana, meskipun belum ada yang merespons.

Insiden serangan ini menegaskan kembali bahwa keamanan di ekosistem DeFi sangat rentan dan pentingnya audit serta pengujian keamanan secara menyeluruh.