Balancer-Exploit: Wie ein kleiner Rundungsfehler einen DeFi-Vorfall von 120 Millionen Dollar verursachte
2025-11-08
Balancer, eine der frühesten und angesehensten dezentralisierten Börsen im DeFi, war am 3. November 2025 einem schweren Exploit ausgesetzt, der dazu führte, dass mehr als 120 Millionen Dollar aus seinem V2-Protokoll und geforkten Versionen abgezogen wurden.
Der Fehler wurde durch einen winzigen arithmetischen Rundungsfehler verursacht, der tief im Quellcode des Smart Contracts des Protokolls versteckt war.
Obwohl das Problem geringfügig erschien, war es ausreichend, um Angreifern zu ermöglichen, Token-Bilanzen zu manipulieren und Liquiditätspools über mehrere Blockchains hinweg abzuziehen.
Dieses Ereignis hat nicht nur das Vertrauen in die Sicherheit von DeFi erschüttert, sondern auch Diskussionen über die Zuverlässigkeit von Audits und Teststandards für Smart Contracts angestoßen.
Wie sich der Balancer-Exploitation entfaltete
Laut der Blockchain-Sicherheitsfirma SlowMist stammt die Schwachstelle von einem Genauigkeitsverlust-Fehler in Balancers Composable Stable Pools. Diese Pools wurden entwickelt, um nahezu gleichwertige Asset-Paare, wie USDC und USDT, zu unterstützen, die stark auf präzise Arithmetik angewiesen sind.
Die Ausnutzung begann, als Angreifer einen kleinen Rundungsfehler ausnutzten, wie Balance's Code die Skalierungsfaktoren für Token-Swaps berechnete.
Der Angreifer tauschte zunächst Balancer-Pool-Token gegen Liquiditätstoken, um die verfügbare Liquidität zu reduzieren, wodurch es einfacher wurde, die Token-Verhältnisse zu verzerren. Anschließend führte er eine Reihe schneller Trades mit Token wie osETH und WETH durch.
Jeder Handel erzeugte eine kleine arithmetische Rundungsdifferenz, und obwohl diese Variationen minimal waren, summierten sie sich über Hunderte von Transaktionen.
Durch die Nutzung der Batch-Swap-Funktion von Balancer, die mehrere Swaps in einer einzigen Transaktion ermöglicht, konnte der Angreifer diese kleinen Diskrepanzen schnell verstärken. Im Laufe der Zeit führte dies dazu, dass das Protokoll eine höhere Token-Ausgabe berechnete als den geschuldeten Betrag, wodurch der Angreifer einen künstlichen Gewinn erzielte.
Nachdem der Angreifer einen ausreichenden Vorteil angesammelt hatte, kehrte er frühere Trades um, um die On-Chain-Daten normal erscheinen zu lassen und die Manipulation zu verbergen.
Die Blockchain-Analyse hat ergeben, dass die gestohlenen Gelder über Tornado Cash bewegt wurden, um die Herkunft zu verbergen, und dann über mehrere Netzwerke wie Arbitrum, Polygon, Base, Avalanche und Optimism geleitet wurden.
Die endgültigen Verluste wurden von forensischen Teams auf rund 116 Millionen Dollar geschätzt. Die Notfallreaktion von Balancer stoppte neuere Pools, aber ältere Pools ohne Sicherheitsschlösser blieben anfällig, was zu erheblichen finanziellen Schäden führte.
Auch lesen: Verdienen Sie 15 % auf DOGE: Bitrue Power Piggy Anleitung
Was der Vorfall über die Schwächen von DeFi offenbarte
Der Balancer-Exploit offenbarte eine kritische Schwäche im DeFi: Selbst gut auditierten Protokollen sind nicht immun gegen mathematische Präzisionsfehler.
Balancer hatte zuvor mehr als zehn Prüfungen durch führende Firmen wie OpenZeppelin, Trail of Bits und Certora durchlaufen. Trotz dieser Überprüfungen bestand der Fehler in einer Funktion, die als „upscale“ bekannt ist und Token-Werte während von Batch-Swaps umwandelt.
Die Problematik ergab sich daraus, wie die Ganzzahlarithmetik gebrochene Werte rundete, was leicht zu Gunsten der Händler gegenüber den Liquiditätspools ausfiel. Dieser geringfügige Vorteil konnte endlos wiederholt werden, um Tokens unfair zu extrahieren.
Was den Vorfall noch besorgniserregender machte, war die Tatsache, dass Balancer vor zwei Jahren ein ähnliches Rundungsproblem erlebt hatte, obwohl diese Version deutlich kleinere Verluste verursachte.
Die Wiederholung deutete darauf hin, dass die arithmetische Präzision ein übersehener Bereich in der DeFi-Entwicklung bleibt.
Smart Contracts sind oft auf voneinander abhängige Berechnungen angewiesen, und eine einzige Rundungsdifferenz kann sich über Tausende von Transaktionen verstärken.
Nach dem Exploit fiel der insgesamt gesperrte Wert von Balancer drastisch. Daten von DeFiLlama zeigten, dass sein TVL innerhalb von 24 Stunden von 442 Millionen US-Dollar auf 214 Millionen US-Dollar fiel und später unter 190 Millionen US-Dollar sank.
Liquiditätsanbieter eilten, um Gelder abzuheben, aus Angst vor weiteren Ausnutzungen. Als Reaktion darauf deaktivierte Balancer die Erstellung neuer Composable Stable Pools, stoppte die Emissionen aus betroffenen Messgeräten und aktivierte einen Wiederherstellungs-Rückzugmodus, um den Nutzern zu ermöglichen, Vermögenswerte sicher zurückzufordern.
Industriepartner wie StakeWise DAO und die Berachain Foundation haben zum Erholungsprozess beigetragen.
StakeWise konnte etwa 19 Millionen Dollar in osETH zurückgewinnen, während Berachain 12 Millionen Dollar in gestohlenen Geldern einfrierte. Gnosis und Monerium froren ebenfalls rund 1,3 Millionen Euro in EURe Stablecoins ein.
Trotz dieser Bemühungen blieben die meisten der Mittel unretrieved, da der Angreifer die Vermögenswerte in ETH umwandelte und sie über mehrere Wallets verteilte.
Die Verhandlungen von Balancer und die Reaktion der Branche
In einer überraschenden Wendung der Ereignisse begannen Balancer Labs am 8. November 2025, nur fünf Tage nach dem Exploit, Verhandlungen mit dem Hacker.
Die Entwickler des Protokolls sendeten eine On-Chain-Nachricht, die dem Angreifer ein Kopfgeld im Austausch für die Rückgabe der gestohlenen Gelder anbot. Sie versicherten, dass keine rechtlichen oder ermittelnden Maßnahmen ergriffen würden, wenn der Hacker bis zum folgenden Tag kooperierte.
Allerdings versprach Balancer, den Fall durch On-Chain-Forensik und potenzielle rechtliche Kanäle zu eskalieren, falls der Angreifer sich weigerte.
Der Schritt zeigte Balancers Bereitschaft, die Rückgewinnung von Mitteln über Bestrafung zu stellen, eine Strategie, die sich bei früheren DeFi-Hacks als effektiv erwiesen hat.
Ähnliche Ansätze haben Projekten wie Beanstalk geholfen, verlorene Vermögenswerte zurückzugewinnen, was zeigt, dass Verhandlungen manchmal zu friedlichen Lösungen führen können. Balancer kündigte ebenfalls an, dass Whistleblower, die bei der Identifizierung des Hackers geholfen haben, eine Entschädigung erhalten würden.
Die Reaktion des Protokolls im „Kriegsraum“ umfasste eine enge Zusammenarbeit mit Cybersicherheitsfirmen und Blockchain-Forschern, um die verbleibenden gestohlenen Gelder zurückzuverfolgen.
Das Überwachungssystem von Hypernative, das während des Angriffs automatisch neuere Pools pausiert hatte, wurde dafür gelobt, noch größere Verluste verhindert zu haben.
Dieser Vorfall entfachte die Diskussionen im DeFi-Sektor über die Notwendigkeit besserer Audits, präziser Handhabung und Echtzeit-Überwachungssysteme erneut.
Experten forderten neue Standards, die extreme Stresstests, simulierte Angriffe und die Erkennung von Anomalien in der Blockchain umfassen, um ähnliche auf Arithmetik basierende Ausnutzungen in der Zukunft zu verhindern.
In der Zwischenzeit blieb der breitere Kryptomarkt relativ stabil. Ethereum, das einen Großteil der gestohlenen Liquidität beherbergte, handelte bei etwa 3.434 $ mit einer Marktkapitalisierung von über 414 Milliarden $. Analysten bemerkten, dass die schnelle Eindämmung des Exploits half, eine breitere Marktpanik zu verhindern.
Lies auch: Wie man 8% auf USDT ohne Sperrfrist verdient
Fazit
Fazit
Der Balancer-Exploit im November 2025 gilt als einer der größten und technisch komplexesten DeFi-Verstöße des Jahres. Ein einzelner arithmetischer Rundungsfehler führte zum Verlust von über 120 Millionen Dollar über mehrere Netzwerke hinweg.
Obwohl Balancer und seine Partner einen Teil der gestohlenen Vermögenswerte zurückerobert haben, hat der Angriff tiefgreifende Schwachstellen in DeFi-Protokollen aufgezeigt, insbesondere in Bezug auf mathematische Präzision und die Sicherheit über verschiedene Blockchains hinweg.
Für Händler, die nach einer sichereren und zuverlässigeren Erfahrung suchen,Bitruebietet eine sichere Plattform für den Kauf, Verkauf und die Speicherung von Krypto-Assets. Ihr robustes Sicherheitsframework, das benutzerfreundliche Design und die konsequente Transparenz machen sie zu einer der vertrauenswürdigsten Börsen für die sichere Verwaltung digitaler Vermögenswerte.
FAQ
Was hat den Balancer-Exploits verursacht?
Der Exploit wurde durch einen kleinen Rundungsfehler in der Arithmetik verursacht, die in den Smart Contracts von Balancer verwendet wird, was es Angreifern ermöglichte, Token-Bestände zu manipulieren und Liquiditätspools abzuziehen.
Wie viel wurde im Balancer-Exploit gestohlen?
Der Gesamtschaden wurde auf etwa 120 Millionen US-Dollar über mehrere Netzwerke geschätzt, einschließlich Ethereum, Base, Arbitrum und Polygon.
War Balancer in der Lage, Gelder zurückzuerhalten?
Ja, einige Mittel wurden durch gemeinsame Anstrengungen von StakeWise DAO, Berachain und Gnosis zurückgewonnen, obwohl der Großteil weiterhin unrecuperiert bleibt.
Hat Balancer den Hacker kontaktiert?
Ja, Balancer hat eine On-Chain-Nachricht gesendet, in der ein Belohnungsgeld an den Hacker für die Rückgabe der gestohlenen Vermögenswerte ohne rechtliche Konsequenzen angeboten wird.
Wie können Händler ihre Kryptowährungen vor ähnlichen Ausbeutungen schützen?
Verwendung von sicheren und regulierten Plattformen wie Bitrue
ist einer der besten Wege, um die Sicherheit Ihrer Krypto-Assets zu gewährleisten. Bitrue setzt starke Sicherheitsmaßnahmen ein und bietet eine transparente Handelsumgebung für alle Benutzer.
Investor Vorsicht
Während der Hype um Krypto aufregend war, denken Sie daran, dass der Kryptobereich volatil sein kann. Führen Sie immer Ihre Recherchen durch, bewerten Sie Ihre Risikobereitschaft und ziehen Sie das langfristige Potenzial jeder Investition in Betracht.
Bitrue Offizielle Website:
Webseite:https://www.bitrue.com/
Registrieren:https://www.bitrue.com/user/register
Haftungsausschluss: Der Inhalt dieses Artikels stellt keine Finanz- oder Anlageberatung dar.
