Een kritieke kwetsbaarheid in het Balancer-gedecentraliseerde uitwisselingsprotocol maakte het voor aanvallers mogelijk om meer dan $120 miljoen af te tappen door misbruik te maken van een afrondingsfout in het gebundelde swap-mechanisme. Analyse wijst uit dat de foutieve logica in de EXACT_OUT-swappingfunctie de tokenbedragen onjuist heeft opgeschaald en afgeschaald over meerdere stappen, waardoor microscopische balansonevenwichten ontstonden die zich opstapelden bij herhaalde transacties. Deze afwijkingen, vergelijkbaar met het schaven van fracties van een cent, werden systematisch door de hacker afgetapt totdat de omstandigheden onvoldoende liquiditeitswaarborgen konden bieden.
De exploit richtte zich op pools die tokens bevatten met verschillende decimale precisies, een situatie die ondanks meerdere beveiligingsaudits niet werd opgemerkt. Tijdens gebundelde transacties zette Balancer’s code de invoerbedragen om naar een 18-decimale representatie voordat prijsberekeningen werden uitgevoerd, en keerde vervolgens de resultaten terug naar de decimale weergave van de native token. In sommige gevallen werd de laatste stap van afschalen naar boven afgerond, waardoor overtollige activa aan de swap-initiator werden verleend. Door het organiseren van hoogfrequente micro-swaps genereerde de aanvaller cumulatieve winsten die de on-chain slippage-limieten omzeilden.
Bij ontdekking publiceerde het Balancer-team een voorlopig rapport en werkte samen met blockchain-validators en knooppuntbeheerders om noodmaatregelen te implementeren. Op Polygon en Sonic voerden governance-kaders bevriesingsmodules in om de getroffen poolcontracten te vergrendelen en uitgaande transfers af te vangen. Berachain-stakeholders stemden in met een nood-hardfork om het exploitvenster terug te draaien en restitutie voor liquiditeitsverschaffers mogelijk te maken. Deze ingrepen benadrukken de voortdurende spanning tussen de onveranderlijke grootboekprincipes en een snelle crisisrespons in DeFi-ecosystemen.
Het incident heeft de debatten over de centralisatie van beveiligingscontroles nieuw leven ingeblazen, waarbij critici betogen dat bevriesingsfuncties en hard forks in tegenspraak zijn met het ethos “code is wet”. Voorstanders daarentegen beweren dat adaptieve governance-tools noodzakelijk zijn om gebruikers te beschermen in omgevingen met een hoog risico. De kwetsbaarheid van Balancer onderstreept het belang van strikte controles op decimale getallenverwerking en markeert evoluerende aanvalsvectoren die gebruikmaken van wiskundige randgevallen. Protocolontwikkelaars herzien nu audit-frameworks en integreren geautomatiseerde fuzz-tests voor decimale bewerkingen om soortgelijke exploits in toekomstige releases te voorkomen.
Reacties (0)