Eksploitasi Besar-Besaran pada Balancer
Pada awal Senin, Balancer, sebuah pembuat pasar otomatis kripto, mengalami eksploitasi besar-besaran yang mengakibatkan pencurian sekitar $128 juta dalam aset digital di berbagai blockchain. Akibatnya, jaringan baru Berachain terpaksa menghentikan operasional blockchain-nya dan sedang merencanakan hard fork untuk mengatasi masalah ini.
Kerentanan Balancer V2
Balancer menyediakan layanannya di berbagai rantai, termasuk Ethereum, Arbitrum, dan Base, dan semua yang menggunakan Balancer V2 rentan terhadap serangan ini. Selain itu, banyak protokol yang dibangun menggunakan basis kode Balancer juga mengalami kerentanan yang sama.
Menurut perusahaan analitik on-chain Nansen, eksploitasi ini kemungkinan disebabkan oleh “kesalahan presisi/kesalahan pembulatan kecil” yang ditemukan di kolam likuiditas Balancer V2. Penyerang memanfaatkan kolam tersebut dengan mendorongnya menuju kesalahan pembulatan melalui beberapa pertukaran dalam satu transaksi. Hal ini menyebabkan Balancer Pool Token (BPT), yang mewakili kepemilikan di kolam likuiditas Balancer, dinilai terlalu rendah.
“Dengan harga BPT yang tertekan, penyerang menukar atau mencetak BPT pada nilai yang terdepresiasi tersebut. Mereka kemudian mengonversi BPT (yang dinilai rendah) kembali menjadi aset dasar dan selanjutnya menjadi ETH, meraup selisihnya,” jelas Nicolai Sondergaard, Analis Riset Nansen.
Estimasi Kerugian dan Tindakan Balancer
Para ahli keamanan dari Cyvers dan PeckShield memperkirakan total kerugian mencapai sekitar $128 juta, meskipun Nansen memperkirakan angka tersebut lebih mendekati $100 juta, yang terus menurun seiring dengan penurunan harga token di tengah kondisi pasar yang lebih luas. Dana yang dicuri kemudian dialihkan melalui beberapa alamat berbeda dan ditukar di bursa terdesentralisasi.
Balancer telah mengakui adanya eksploitasi ini dan mengonfirmasi bahwa masalah ini terisolasi pada Balancer V2 Composable Stable Pools, sehingga kolam V3 tetap tidak terpengaruh. Proyek ini kini bekerja sama dengan “peneliti keamanan terkemuka” untuk menyusun laporan lengkap mengenai insiden tersebut.
Token BAL Balancer mengalami penurunan lebih dari 11% pada hari itu, dengan kapitalisasi pasar mencapai $56 juta, menurut CoinGecko.
“[Ini] kemungkinan yang terburuk sudah berlalu, karena tampaknya penyerang tidak menarik dana lebih lanjut,” kata Sondergaard.
Tindakan Berachain dan Kontroversi Hard Fork
Sebagai respons terhadap serangan ini, validator Berachain berkoordinasi untuk menghentikan blockchain, dengan rencana untuk melakukan hard fork darurat guna mengembalikan rantai ke keadaan sebelum eksploitasi. Hal ini disebabkan oleh bursa terdesentralisasi asli Berachain yang dibangun di atas basis kode yang sama rentan seperti Balancer V2, menurut Cyvers. Ini menjelaskan mengapa Berachain terkena dampak parah, dengan kerugian diperkirakan mencapai $12,86 juta.
“Mengingat bahwa ini mempengaruhi aset non-natif (tidak hanya BERA), rollback/rollforward melibatkan lebih dari sekadar hard fork sederhana,” ungkap pengumuman Yayasan Berachain, menjelaskan alasan di balik penghentian sementara blockchain.
Langkah ini sangat kontroversial di kalangan penggemar kripto yang percaya pada prinsip ketidakberubahan blockchain. Bagi banyak penganut kripto sejati, melakukan fork pada rantai dan membatalkan transaksi bertentangan dengan nilai-nilai yang diwakili oleh kripto.
Ethereum sendiri pernah melakukan rollback pada blockchain-nya melalui hard fork setelah peretasan terkenal The DAO pada tahun 2016, yang mengakibatkan pencurian $50 juta dalam ETH—jumlah yang signifikan pada saat itu. Hard fork yang kontroversial ini membagi komunitas, dengan mereka yang menentang pemisahan tetap dengan rantai asli yang kini dikenal sebagai Ethereum Classic.
“Saya yakin beberapa orang tidak akan senang dengan keputusan ini, dan kami mengakui bahwa ini bisa dianggap sebagai keputusan yang kontroversial,” tulis pendiri dan CSO Berachain yang dikenal dengan nama samaran Smokey the Bera di X. “Pengguna dan penyedia likuiditas di jaringan selalu menjadi prioritas kami, dan ketika sekitar $12 juta dana pengguna berisiko dari penyerang, kami berusaha mengoordinasikan set validator untuk melindungi pengguna tersebut.”
“Tujuannya adalah untuk memulihkan dana secepat mungkin dan memastikan bahwa semua penyedia likuiditas aman,” tambah Smokey. Token Berachain juga mengalami penurunan hampir 10% pada hari itu, dengan kapitalisasi pasar mencapai $211 juta, menurut CoinGecko.
