作者：Jack Inabinet Sumber: bankless Terjemahan:善欧巴，金色财经

Dampak Lanjutan dari Serangan Kerentanan Balancer V2

Balancer adalah sebuah bursa terdesentralisasi populer yang menonjolkan fitur penyeimbangan ulang otomatis kolam likuiditas dan mekanisme insentif likuiditas berbasis token. Baru-baru ini, vault V2-nya diserang dan kehilangan mencapai puluhan juta dolar.

Banyak versi fork dari Balancer V2 (yaitu bursa alternatif yang menggunakan kode Balancer) juga terdampak, dan beberapa blockchain yang terkena dampak telah mengambil langkah agresif untuk mengurangi kerugian lanjutan.

Mengapa insiden ini memicu reaksi berantai di industri kripto? Berikut penjelasannya secara rinci.

Kesalahan Besar Balancer

Pada 3 November (Senin) dini hari, vault Balancer V2 yang dipasang di jaringan Ethereum, Base, Polygon, dan Arbitrum diserang kerentanan, dengan kerugian mendekati 80 juta dolar. Masalah ini hanya terjadi pada “kolam stabil yang dapat dikombinasikan” di V2, dan tidak mempengaruhi Balancer V3 maupun jenis kolam lainnya.

Platform analisis data DeFiLlama menunjukkan bahwa Balancer V2 memiliki 27 versi fork independen. Meskipun sebagian besar protokol fork memiliki volume terkunci yang kecil, penyerang tetap mencuri 3,4 juta dolar dari protokol Beets di ekosistem Sonic, dan 283.000 dolar dari protokol Beethoven di ekosistem Optimism. Selain itu, bursa native yang dibangun di atas Balancer di jaringan Berachain, BEX, memiliki sekitar 12 juta dolar dana pengguna yang berisiko.

Hingga saat artikel ini ditulis, Balancer belum merilis laporan analisis resmi pasca kejadian, tetapi ada pendapat yang menyebutkan bahwa akar masalahnya terletak pada kekurangan pemeriksaan akses dalam fungsi “manageUserBalance”; ada juga spekulasi bahwa serangan berasal dari manipulasi “invariant” harga token kolam Balancer.

Setelah serangan kerentanan terjadi, pengguna Balancer dan protokol fork-nya segera melakukan penarikan darurat untuk melindungi aset mereka. Seorang whale yang tidak aktif selama tiga tahun, dalam waktu 30 menit setelah serangan, melakukan satu transaksi untuk menarik seluruh 6,5 juta dolar aset GNO-WETH dari Balancer.

Untuk membatasi kerugian, beberapa blockchain mengambil langkah ekstrem—langkah-langkah agresif ini menimbulkan batasan antara penanganan krisis dan kontrol terpusat:

• Polygon, yang menjalankan Balancer V2, hanya kehilangan sekitar 100.000 dolar, tetapi validator jaringan memutuskan untuk meninjau transaksi hacker dan secara efektif membekukan aset digital yang dicuri di tempat;
• Sonic mengubah logika token asli “S”, memberi Sonic Foundation hak untuk secara sepihak memasukkan alamat dompet ke dalam daftar hitam (melarang kepemilikan token asli), dan mengosongkan saldo token S dari penyerang;
• Sementara itu, seluruh jaringan Berachain menghentikan pembuatan blok secara total, dengan menangguhkan pembuatan blok untuk mencegah pencurian aset lebih lanjut dari BEX (bursa resmi Berachain).

Pertanyaan Inti yang Muncul dari Balancer

Serangan kerentanan Balancer ini menimbulkan dua pertanyaan penting bagi seluruh industri kripto.

Pertanyaan pertama: Jika Balancer V2 pun bisa diserang dengan mudah, protokol DeFi apa lagi yang benar-benar aman?

Balancer V2 adalah protokol yang sudah teruji: telah beroperasi lebih dari empat tahun dan telah diaudit oleh beberapa lembaga independen. Jika protokol sebesar ini pun bisa diserang dengan mudah, maka semakin banyak orang bertanya—protokol DeFi apa lagi yang benar-benar aman?

Tak dapat disangkal, pengguna kripto menikmati kemudahan yang dibawa blockchain, tetapi ketika celah dalam protokol dasar DeFi yang telah diaudit bertahun-tahun ini ditemukan, semakin sulit untuk percaya sepenuhnya terhadap keamanan aplikasi berbasis kontrak pintar tanpa izin.

Pertanyaan kedua: Jika beberapa blockchain memiliki wewenang untuk membekukan dana penyerang, mengapa otoritas regulasi tidak dapat memaksa mereka untuk membekukan “aktivitas ilegal”?

Karena Polygon, Sonic, Berachain, dan blockchain lain mampu membekukan dana penyerang, mengapa otoritas keuangan tidak dapat memaksa blockchain ini (dan yang sejenisnya yang memiliki tingkat sentralisasi serupa) untuk membekukan semua aktivitas yang mereka anggap ilegal?

Pada Maret 2023, front-end MakerDAO vault Oasis.app (sekarang bernama Summer.fi) mengikuti perintah pengadilan tinggi Inggris dan Wales, menggunakan backdoor kunci administrator untuk mengakses kontrak pintar mereka sendiri, dan berhasil menarik kembali aset kripto senilai 225 juta dolar dari insiden peretasan Wormhole lintas rantai.

Peristiwa ini menunjukkan bahwa sistem hukum tradisional dapat memaksa protokol terdesentralisasi untuk mengambil tindakan tertentu melalui penangkapan atau konsekuensi hukum lainnya. Kini, akankah otoritas pengawas mengikuti pola ini—hanya dengan satu perintah pengadilan, mereka dapat menindak aktivitas di berbagai rantai yang tidak mereka setujui (seperti transaksi tanpa pengawasan pemerintah dan tanpa verifikasi identitas)?