Awal pekan ini, sebuah kerentanan kritis dalam protokol keuangan terdesentralisasi (DeFi) Balancer dieksploitasi, dengan perkiraan kerugian kripto senilai $120 juta atau lebih. Meski awalnya tidak jelas bagaimana eksploitasi ini bekerja, sebuah laporan awal dari tim Balancer menunjukkan bahwa penyebab utamanya adalah cara protokol tersebut menangani pembulatan saldo token kripto.
Eksploitasi terhadap Balancer ini mengejutkan banyak pihak dalam ekosistem DeFi, mengingat proyek ini telah menjalani banyak audit keamanan dari firma-firma terpercaya, dan versi protokol yang dieksploitasi tersebut telah beredar sejak tahun 2021.
Dalam sebuah wawancara dengan CNBC’s Squawk Box pada Rabu pagi, mantan Direktur Cybersecurity and Infrastructure Security Agency, Chris Krebs, membandingkan eksploitasi Balancer dengan skema dari film Office Space, di mana idenya adalah mengambil sebagian kecil dari banyak transaksi individu. Krebs juga menunjuk pada kemungkinan penggunaan kecerdasan buatan dalam merancang kode eksploitasi sebagai aspek menarik lainnya dari situasi ini.
Tanpa masuk terlalu dalam ke detail teknis, pada dasarnya inilah yang terjadi dengan eksploitasi tersebut, menurut analisis Balancer sendiri.
Inti dari masalah ini adalah kesalahan pembulatan dalam kode Balancer yang terkait dengan cara menangani perdagangan, khususnya *batched swaps* di mana beberapa perdagangan antara aset kripto yang berbeda dapat digabung menjadi satu transaksi. Fitur ini dimaksudkan untuk membantu pengguna menghemat biaya gas, yang merupakan biaya berbasis kripto untuk berinteraksi dengan platform kontrak pintar berbasis blockchain seperti Balancer.
⚖️ Ringkasan Peretasan Balancer:
🧮 Sebagian besar token di Ethereum menggunakan 18 desimal, tetapi beberapa tidak.
✖️ Balancer meningkatkan jumlah token (ke 18 desimal) dan menguranginya kembali.
🔧 Peningkatan skalanya selalu dibulatkan ke BAWAH, tetapi penurunan skalanya bisa dibulatkan ke ATAS atau ke BAWAH.
😬 Semakin banyak langkah penskalaan yang terlibat, semakin…
— Austin Griffith (@austingriffith) 5 November 2025
Selama versi tertentu dari jenis swap ini, yang dikenal sebagai EXACT_OUT, kode Balancer harus meningkatkan atau mengurangi angka untuk membuat perhitungan menjadi presisi (bayangkan seperti mengonversi sen ke dolar). Namun, sistem terkadang membulatkan ke bawah dengan cara yang menciptakan ketidakseimbangan kecil.
Melalui perdagangan yang berulang, peretas dapat mengeksploitasi celah-celah kecil ini untuk mengacaukan saldo pool, sehingga Krebs membandingkannya dengan rencana dalam film Office Space. Terdapat manipulasi tambahan di atas itu, tetapi kesalahan pembulatan ini adalah kelemahan kunci yang membuka peluang bagi peretas.
Sementara eksploitasi Balancer mengguncang seluruh ekosistem DeFi, beberapa blockchain berhasil membatasi keuntungan peretas dengan cara membekukan aset, yang jelas-jelas bertentangan dengan filosofi “code is law” yang awalnya menjadi inti dari platform kripto yang berfokus pada kontrak pintar yang lebih ekspresif, seperti Ethereum.
Beberapa pendukung DeFi khawatir peretasan terhadap protokol yang dipercaya seperti Balancer akan melemahkan tingkat kepercayaan terhadap sektor DeFi secara lebih luas; namun, jelas bahwa sebagian besar aktivitas ini masih agak terkontrol secara terpusat dan mampu beroperasi dengan cara yang mirip dengan platform fintech tradisional.
Semua orang suka mengklaim “keamanan kripto-ekonomi” sampai Lazarus Group muncul.
— Matthew Green is on BlueSky (@matthew_d_green) 6 November 2025
Menurut Unchained, blockchain Polygon dan Sonic secara efektif membekukan atau “menyensor” beberapa aset peretas Balancer setelah eksploitasi untuk mencegah dana tersebut berpindah ke tempat lain di masa depan. Berachain bahkan sampai menerapkan *hard fork* darurat yang akan memungkinkan para korban peretasan untuk mengambil kembali dananya.
Hal ini mengingatkan pada tindakan yang diambil oleh pengembang Ethereum setelah peretasan terkenal terhadap The DAO hampir sepuluh tahun yang lalu di masa-masa awal jaringan kripto. Dan jelas bahwa kripto masih bergumul dengan pertukaran antara memberikan setiap orang kendali penuh atas uang digital mereka sendiri dan konsekuensinya tidak ada yang bisa dimintai pertolongan ketika sesuatu terjadi.
Beberapa pihak mencatat bahwa masuk akal untuk menerapkan proteksi semacam ‘roda bantu’ ini di jaringan kripto yang kurang berkembang, tetapi yang lain melihat ini sebagai contoh lain betapa banyak desentralisasi yang diklaim di ruang ini lebih merupakan teatrikal daripada realitas teknis, seperti yang juga terungkap selama pemadaman Amazon Web Services baru-baru ini.