Balancer, sebuah protokol keuangan terdesentralisasi (DeFi) yang berfokus pada pembuatan pasar otomatis (AMM), dieksploitasi dini hari Senin dalam serangan yang diduga mengakibatkan kerugian mencapai $120 juta atau lebih bagi penggunanya.
Rincian spesifik mengenai cara serangan ini dilakukan masih belum jelas saat ini. Menurut analisis awal yang diterbitkan di akun X Blocksec Phalcon, eksploitasi tersebut “sangat canggih” dan melibatkan manipulasi harga dalam protokol yang memungkinkan penyerang mengambil untung. Di sisi lain, CEO Cyvers Deddy Lavid memberi tahu Bloomberg bahwa penyerang mungkin dapat memanipulasi saldo secara langsung melalui eksploitasi yang melibatkan mekanisme kontrol protokol.
Kami menyadari adanya eksploitasi potensial yang berdampak pada pool Balancer v2.
Tim teknik dan keamanan kami sedang menyelidiki dengan prioritas tinggi.
Kami akan membagikan pembaruan terverifikasi dan langkah selanjutnya sesegera kami memiliki informasi lebih lanjut.
— Balancer (@Balancer) 3 November 2025
Pembaruan terakhir dari Balancer mengindikasikan bahwa mereka saat ini bekerja sama dengan para peneliti keamanan terkemuka untuk lebih memahami apa yang sebenarnya terjadi dan pada akhirnya akan memberikan laporan post-mortem lengkap. Selain Balancer, proyek-proyek lain yang berbasis pada fork dari kontrak pintar protokol DeFi tertentu tersebut turut terdampak.
Meskipun peretasan dan pencurian di dunia DeFi dan crypto secara umum bukanlah hal yang langka, serangan terhadap Balancer ini sangat mengkhawatirkan karena tingkat kepercayaan tinggi yang telah dibangun di sekitar protokol tersebut. Balancer telah ada sejak tahun 2020, dan juga telah menjalani banyak audit keamanan oleh perusahaan-perusahaan terpercaya selama bertahun-tahun, termasuk dari pihak seperti OpenZeppelin dan Trail of Bits. Ini adalah jenis perusahaan yang juga telah memberikan stempel persetujuan mereka kepada protokol-protokol DeFi lain yang sangat reputabel dan terpercaya.
Yang patut dicatat, eksploitasi terjadi pada Balancer v2, yang diluncurkan pada 2021 dan dianggap telah ditinjau lebih baik serta lebih dapat dipercaya dibandingkan implementasi Balancer v3 yang lebih baru karena keberadaannya di ekosistem yang jauh lebih lama.
Pengembang Ethereum Lefteris Karapetsas mencatat di X bahwa inti dari peristiwa ini bukanlah pada pencuriannya itu sendiri, melainkan pada runtuhnya kepercayaan terhadap DeFi yang akan menyertainya. “Sebuah protokol yang telah aktif sejak 2020, diaudit, dan digunakan secara luas, masih bisa mengalami kerugian TVL yang hampir total,” tulis Karapetsas. “Itu adalah tanda bahaya bagi siapapun yang menganggap DeFi ‘stabil’. Tidak ada modal serius yang dialokasikan ke dalam sistem yang begitu rentan.”
Hasu, yang merupakan penasihat strategis untuk Lido dan pimpinan strategi di Flashbots, berbagi sentimen serupa, dengan memposting, “Balancer v2 diluncurkan pada 2021 dan merupakan salah satu kontrak pintar yang paling banyak ditinjau dan di-fork sejak saat itu. Ini sangat menakutkan. Setiap kali kontrak lama seperti ini dapat dieksploitasi, hal itu (dengan benar) mengembalikan adopsi DeFi mundur 6-12 bulan.”
Tidak ingin terdrama, tapi eksploitasi Balancer adalah skenario mimpi buruk.
Balancer adalah DeFi OG yang beroperasi sejak 2020, termasuk dalam 3 DApps yang paling teruji, dan eksploitasi terjadi di vault Balancer V2 (yang diaudit oleh berbagai perusahaan teratas yang juga mengaudit sebagian besar DeFi).
Tidak bagus. https://t.co/0nRUHEHurg pic.twitter.com/sBgAoU9pQg
— jfab.eth (@josefabregab) 3 November 2025
Setidaknya satu blockchain, Berachain, telah ditutup sementara sebagai respons terhadap serangan ini. Bahkan, jaringan Berachain akan menjalani hard fork dalam upaya untuk memulihkan efek dari eksploitasi ini pada chain-nya, menurut akun X Berachain. Ini mengingatkan pada situasi dua minggu lalu, ketika kurangnya desentralisasi nyata dalam crypto terungkap oleh downtime yang dialami di Amazon Web Services (AWS).
Menurut Direktur Coinbase Conor Grogan, pelaku eksploitasi Balancer mendanai serangan tersebut dengan ETH yang sebelumnya disimpan di Tornado Cash, yaitu sebuah protokol pencampur di Ethereum yang dimaksudkan untuk memisahkan dana dari riwayat transaksinya.
Kecuali si pengeksploitasi mentransfer dananya ke dalam stablecoin, yang lebih mudah dikontrol dan dapat masuk daftar hitam, atau menyetor kripto ke bursa terpusat, pemulihan dana mungkin akan sulit. Meski demikian, terdapat situasi di masa lalu di mana pengeksploitasi protokol DeFi mengembalikan sebagian dana atau protokol itu sendiri pada dasarnya diselamatkan. Pada titik ini, masih terlalu dini untuk memastikan apa yang akan terjadi dalam insiden spesifik ini.
Untuk saat ini, dampak dari eksploitasi terbaru ini terhadap dunia kripto mungkin melibatkan pertanyaan apakah protokol DeFi dapat dipercaya dan apakah sepadan dengan biaya desentralisasi secara lebih umum, terutama dalam hal aktivitas keuangan yang melibatkan token yang diterbitkan oleh entitas yang pada dasarnya tetap terpusat.