Balancer-hack loopt op tot $116 miljoen team zet 20% beloning uit

DeFi-platform Balancer opnieuw slachtoffer van grote hack

Het DeFi-protocol Balancer is hard geraakt door een nieuwe hack. In totaal is ruim $116 miljoen aan crypto buitgemaakt, vooral in gestakete Ether-tokens. De aanval begon met drie transacties waarbij onder meer staked Ether (stETH), Wrapped Ether (WETH) en Lido wstETH (wSTETH) naar een onbekend walletadres werden gestuurd.

Volgens het team achter Balancer gaat het om een exploit die Balancer v2-pools heeft getroffen.

“Onze engineers en securityteams onderzoeken het met de hoogste prioriteit,” schreef het bedrijf op X.

Wat ging er mis?

Onderzoekers vermoeden dat de hacker misbruik heeft gemaakt van een fout in een smart contract. Een smart contract is een stukje code op de blockchain dat automatisch transacties uitvoert wanneer aan bepaalde voorwaarden is voldaan. In dit geval zou er sprake zijn geweest van een fout in de toegangscontrole, waardoor de aanvaller zelf commando’s kon uitvoeren om fondsen op te nemen.

Volgens data van Lookonchain liep de schade op tot meer dan $116 miljoen, en ook verschillende Balancer-forks werden getroffen.

Balancer biedt beloning aan voor terugbetaling

Om de fondsen terug te krijgen, heeft Balancer een opvallend voorstel gedaan. De hacker mag 20% van het gestolen bedrag houden als beloning, op voorwaarde dat het overige geld direct wordt teruggestort. De zogenoemde white-hat bounty moet binnen 48 uur worden geaccepteerd.

Doet de aanvaller dat niet, dan zegt Balancer samen te werken met blockchainforensische teams en opsporingsdiensten om de identiteit van de dader te achterhalen. Het team claimt te beschikken over IP-logbestanden en metadata die mogelijk aan de hacker kunnen worden gekoppeld.

Herhaald doelwit van aanvallen

Het is niet de eerste keer dat Balancer in het nieuws komt door een hack.

• In 2020 verloor het platform $500.000 bij een flash loan-aanval, waarbij leningen in seconden worden gebruikt om markten te manipuleren.
• In 2021 werd Balancer’s website gehackt via een DNS-aanval, waardoor gebruikers naar een phishingpagina werden geleid. Daarbij ging $238.000 verloren.
• In 2023 werd nog eens bijna $1 miljoen gestolen na een kwetsbaarheid in enkele liquiditeitspools.

Deze reeks incidenten zet vraagtekens bij de beveiliging van DeFi-protocollen. Hoewel ze werken zonder centrale partij, blijven bugs in smart contracts een zwakke plek.

Berachain grijpt in met noodupdate

De hack had ook gevolgen voor Berachain, een blockchain waarop Balancer actief is. Het netwerk werd tijdelijk stilgelegd om een noodupdate (hard fork) door te voeren. Volgens de Berachain Foundation is dat nodig om alle getroffen fondsen veilig te herstellen. Het netwerk zal weer worden opgestart zodra dat proces is afgerond.

Bron: Berachain Foundation

Conclusie

De hack bij Balancer laat opnieuw zien dat DeFi niet zonder risico’s is. Slimme contracten maken handel en liquiditeit mogelijk zonder tussenpersonen, maar één fout in de code kan miljoenen kosten. Of de hacker de white-hatbeloning aanneemt, blijft onzeker maar het vertrouwen van gebruikers in Balancer krijgt hoe dan ook een nieuwe deuk.

Veelgestelde vragen

Wat is Balancer?
Balancer is een decentralized exchange (DEX) en automated market maker (AMM) waarmee gebruikers crypto kunnen verhandelen en liquiditeit kunnen verschaffen zonder centrale partij.

Wat is een smart contract?
Een smart contract is een stukje programmeercode op de blockchain dat automatisch wordt uitgevoerd als aan vooraf vastgestelde voorwaarden wordt voldaan. Het zorgt ervoor dat transacties zonder tussenpersoon kunnen plaatsvinden.

Wat is een white-hat bounty?
Een white-hat bounty is een beloning voor hackers die kwetsbaarheden melden of gestolen fondsen teruggeven in plaats van ze te misbruiken.