Hackare utnyttjade sårbarheter i Balancer decentraliserade finansprotokoll den 3 november 2025 och stal uppskattningsvis 120 till 128 miljoner dollar i kryptovaluta. Balancer bekräftade händelsen och pausade påverkade pooler för att mildra ytterligare förluster. Säkerhetsföretag spårade attacken till komprometterade åtkomstkontrollmekanismer.
Utnyttjandet riktades mot Balancer, ett DeFi-protokoll aktivt sedan 2020 som håller mer än 350 miljoner dollar i Ethereum-värde. Måndag den 3 november 2025 började händelsen tidigt på morgonen, med hackare som stal fonder främst i ETH, motsvarande minst 99 miljoner dollar av de totala förlusterna som uppskattas till över 120 miljoner dollar av de flesta blockchain-säkerhetsföretag, inklusive PeckShield och Cyvers. En rapport specificerade 128 miljoner dollar stulna.
Balancer utfärdade ett uttalande på X: "Vi är medvetna om en potentiell utnyttjande som påverkar Balancer v2-pooler. Våra ingenjörs- och säkerhetsteam utreder med hög prioritet. Vi kommer att dela verifierade uppdateringar och nästa steg så snart vi har mer information." Företaget förklarade att felaktiga åtkomstkontrollmekanismer tillät angripare att manipulera saldon direkt. Cyvers VD Deddy Lavid uppgav: "Det pågående utflödet härrör troligen från en kompromiss av åtkomstkontrollmekanismer inom protokollet, vilket tillåter angriparna att manipulera saldon direkt."
Som svar pausade Balancer pooler som kunde pausas och placerade dem i återställningsläge, även om kopplingar till andra plattformar förhindrade ensidiga pauser för alla påverkade tillgångar. Protokollet, som genomgått cirka 10 revisioner och upprätthållit bug bounties, åtar sig användarsäkerhet och arbetar med säkerhets- och rättsliga team för en grundlig utredning och post-mortem.
Flera länkade organisationer agerade snabbt: Berachain Foundation stoppade sitt nätverk och frös vissa stulna fonder. Plattformar som Gnosis, Sonic och Beefy implementerade liknande skyddsåtgärder. Balancer varnade användare för bedrägliga meddelanden som cirkulerar från falska konton.
Denna händelse följer ett stöld av 10,8 miljoner dollar från Garden Finance förra veckan och bidrar till ett år med ökad kryptobrottslighet. Chainalysis rapporterade över 2 miljarder dollar stulna under första halvåret 2025, med 2,17 miljarder dollar hittills i år, vilket överträffar 2024:s totaler. Mycket av stölden är kopplad till nordkoreanska aktörer, som stal minst 1,65 miljarder dollar från januari till september 2025 för att finansiera ballistiska missilprogram.