Peretas mengeksploitasi kerentanan dalam protokol keuangan terdesentralisasi Balancer pada 3 November 2025, mencuri perkiraan 120 hingga 128 juta dolar dalam kripto. Balancer mengonfirmasi insiden tersebut dan menghentikan pool yang terpengaruh untuk mengurangi kerugian lebih lanjut. Perusahaan keamanan melacak serangan ke mekanisme kontrol akses yang dikompromikan.
Eksploitasi tersebut menargetkan Balancer, protokol DeFi yang aktif sejak 2020 yang memegang lebih dari 350 juta dolar dalam nilai Ethereum. Pada Senin, 3 November 2025, insiden dimulai di pagi hari, dengan peretas mencuri dana terutama dalam ETH, mencapai setidaknya 99 juta dolar dari total kerugian yang diperkirakan lebih dari 120 juta dolar oleh sebagian besar perusahaan keamanan blockchain, termasuk PeckShield dan Cyvers. Satu laporan menyebutkan 128 juta dolar dicuri.
Balancer mengeluarkan pernyataan di X: "Kami menyadari adanya eksploitasi potensial yang memengaruhi pool Balancer v2. Tim teknik dan keamanan kami sedang menyelidiki dengan prioritas tinggi. Kami akan berbagi pembaruan terverifikasi dan langkah selanjutnya segera setelah kami memiliki informasi lebih lanjut." Perusahaan menjelaskan bahwa mekanisme kontrol akses yang cacat memungkinkan penyerang memanipulasi saldo secara langsung. CEO Cyvers Deddy Lavid menyatakan, “Pembuangan yang sedang berlangsung kemungkinan berasal dari kompromi mekanisme kontrol akses dalam protokol, memungkinkan penyerang memanipulasi saldo secara langsung.”
Sebagai respons, Balancer menghentikan pool yang bisa dihentikan dan menempatkannya dalam mode pemulihan, meskipun hubungan dengan platform lain mencegah penghentian sepihak untuk semua aset yang terpengaruh. Protokol tersebut, yang telah menjalani sekitar 10 audit dan mempertahankan program hadiah bug, berkomitmen pada keselamatan pengguna dan bekerja dengan tim keamanan dan hukum untuk penyelidikan menyeluruh dan analisis post-mortem.
Beberapa organisasi terkait bertindak cepat: Yayasan Berachain menghentikan jaringannya dan membekukan beberapa dana yang dicuri. Platform seperti Gnosis, Sonic, dan Beefy menerapkan langkah-langkah pelindung serupa. Balancer memperingatkan pengguna terhadap pesan palsu yang beredar dari akun penipu.
Insiden ini mengikuti pencurian 10,8 juta dolar dari Garden Finance minggu lalu dan berkontribusi pada tahun peningkatan kejahatan kripto. Chainalysis melaporkan lebih dari 2 miliar dolar dicuri di paruh pertama 2025, dengan 2,17 miliar dolar tahun-ke-tanggal, melampaui total 2024. Banyak pencurian terkait dengan pelaku Korea Utara, yang mencuri setidaknya 1,65 miliar dolar dari Januari hingga September 2025, mendanai program rudal balistik.