Balancer Hack 2025: $128M Sömürü ve DeFi'nin Sistemik Riskleri Ortaya Çıktı

Balancer hack 2025, DeFi ekosisteminde şok dalgaları yarattı; V2 bileşenli stabil havuzlarını hedef alan $128 milyon dolarlık bir saldırı, likidite yönetimindeki açıkları ortaya koydu ve denetim sınırlamaları ile protokol birlikte çalışabilirliği hakkında acil soruları gündeme getirdi.

Balancer Hack: $128 Milyon Dolarlık Çalınma V2 Havuzlarından

3 Kasım 2025’te Balancer V2, yedi zincirde toplam $128 milyon dolar kaybederek büyük bir ihlal yaşadı; Ethereum (, Arbitrum $100 , Base )$3.95 milyon, Sonic ($3.4 milyon, Optimism $8 $1.57 milyon, Polygon )$230.000 ve diğerleri. Saldırı, manageUserBalance fonksiyonundaki hatalı erişim kontrolü denetimini kullanarak, hackerların ücret sahiplerini taklit edip WETH, wstETH ve osETH gibi varlıkları sızdırmasına imkan sağladı. Bu, Balancer’ın ilk olayı değil—önceki açıklar, uzun ömürlü sözleşmelerin risklerini vurguladı; toplam kilitli değer (TVL) şimdi yarı yarıya azalarak 1.2 milyar dolara düştü ve çatallanan protokoller büyük çıkışlar yaşadı.

• Zararın Dağılımı: Toplam; %90 bileşenli stabil havuzlardan.
• Etkilenen Varlıklar: WETH, wstETH, osETH, frxETH, rsETH, rETH.
• Zincir Etkisi: 7 ağ; 27 çatallanan protokol risk altında.

Saldırı Mekanizması: Hatalı Erişim Kontrolü ve Taklit

Saldırı, Balancer’ın Vault sözleşmesindeki kusurlu doğrulama üzerine kuruldu; saldırganlar, kötü niyetli talimatlar hazırlayarak sahiplik kontrollerini aşmayı başardı. UserBalanceOpKind.WITHDRAW_INTERNAL kullanarak, sistemin yetkisiz para çekimlerine izin vermesini sağladılar ve geri çağırma işlemlerini manipüle ederek izin olmadan takaslar gerçekleştirdiler. PeckShield gibi güvenlik firmaları, özel anahtar sızıntısı olmadığını doğruladı—bu tamamen akıllı sözleşme kusuruydu ve bağlantılı havuzları kullanarak hızlıca boşaltma yaptı. Bu “kelebek etkisi”, çatallanan protokollere yayılarak DeFi’nin bileşenlik modelinde sistemik riskleri artırdı.

Sistemik Riskler: 27 Çatal ve Çok Zincirli Sonuçlar

Balancer V2’nin açığı, Ethereum, Berachain ve diğer 27 çatallanan protokolü etkiledi; acil durum tepkileri olarak zincir durdurmaları ve pozisyon çekme işlemleri gerçekleştirildi. Berachain, sert bir çatallama için ağını durdurdu; köprüleri devre dışı bıraktı ve USDe yatırımlarını durdurdu, Sonic ise hacker cüzdanlarını dondurdu. Olay, denetim boşluklarını ortaya çıkardı—Certora ve OpenZeppelin tarafından yapılan incelemelere rağmen, gizlilik ve ölçeklenebilirlik arasındaki denge tartışmalarını alevlendirdi ve merkeziyetsizlik ile kullanıcı koruması arasında çatışma yarattı. TVL’si 1 milyar doların üzerinde olan bu tür açıklar, 1 milyar doların üzerindeki teminat çağrılarına yol açabilir; bu da DeFi’nin kırılganlığını gösteriyor.

Endüstri Yanıtı: Duraklamalar, Denetimler ve Tartışmalar

İhlal, hemen harekete geçilmesine neden oldu:

• Zincir Duraklamaları: Berachain’in acil çatallaması ve Sonic’in cüzdan dondurma işlemleri.
• Pozisyon Çekme: Lido, etkilenmeyen varlıklarını çekti.
• İncelemeler: PeckShield ve Decurity kusuru araştırması yaptı.

“Merkeziyetsizlik maliyeti” tartışmaları devam ederken, Hal Finney’nin mirasçıları ve analistler duraklamaların güveni zedelediğini savunuyor; diğerleri ise kullanıcı güvenliğine övgüler yağdırıyor. Hacker’ın adresi, 128 milyon dolar ile bağlantılı olup, Mixero üzerinden kara para aklamaya devam ediyor ve ( ETH/USDC’ye çevrildi.

Tarihsel Bağlam: Balancer’ın Açıklar Mirası

2017’de kurulan AMM öncüsü Balancer, 2022’de ) boşaltma ve 2021’de ( kayıp gibi birçok açıkla karşılaştı; denetimlere rağmen. V2’deki kusur, 2021’deki sözleşmede yer alıyor ve uzun ömürlü kodların risklerini ortaya koyuyor; uzmanlara göre, DeFi’yi 6-12 ay geriye götürdü. Velodrome ve Solidly gibi çatallanan protokoller de benzer tehditlerle karşı karşıya; bu da bileşenlikliğin iki yüzlü kılıcını gösteriyor.

Derin Düşünceler: Denetim Sınırları ve DeFi’nin İkilemi

Hack, şu noktaları ortaya çıkarıyor:

• Denetim Eksiklikleri: Çok sayfalı incelemeler bile sınırları aşan durumları gözden kaçırabilir.
• Bileşenlik Riski: Bağlantılı havuzlar, tek bir kusuru büyütebilir.
• Merkeziyetsizlik ve Güvenlik: Duraklamalar fonları korur, ancak idealleri zorlar.

Modüler tasarımlar, gerçek zamanlı izleme ve doğrulanabilir erişim için ZK kanıtları gibi çözümler geliştirilmesi gerekiyor.