Das DeFi-Protokoll Balancer wurde am 3. November 2025 Opfer eines Exploits. Dabei wurden über 128 Millionen US-Dollar aus den V2 Pools entwendet. Balancer plant nun eine Rückerstattung von 8 Millionen US-Dollar an betroffene Liquiditätsanbieter.
Der Exploit nutzte eine Rundungsfehler-Schwachstelle in der `_upscaleArray` Funktion der ComposableStablePool Contracts von Balancer V2 aus. Dieser Fehler führte zu Präzisionsverlusten bei der Berechnung von Pool-Invarianten. Angreifer kombinierten dies mit speziell gestalteten `batchSwap` Operationen, um die Preise von Balancer Pool Token (BPT) künstlich zu drücken.
Der Angriff erfolgte primär während der Bereitstellung des Angreifer-Smart Contracts, wobei der Konstruktor über 65 Mikro-Swaps ausführte, die den Präzisionsverlust verstärkten.
Der Angriff betraf Balancer V2 Pools auf Ethereum, Polygon und Arbitrum. Check Point Research entdeckte den Exploit frühzeitig und identifizierte massive Mittelabflüsse aus mehreren Liquiditätspools.
Balancer deaktivierte die CSPv6 Factory, um die Erstellung neuer, anfälliger Pools zu verhindern. Betroffene Pools wurden in den Notfall-Wiederherstellungsmodus versetzt. Der Rückerstattungsplan sieht vor, etwa 8 Millionen US-Dollar an Liquiditätsanbieter zurückzuzahlen.
Whitehat-Akteure, die bei der Wiederherstellung von Vermögenswerten halfen, sollen eine Entschädigung in Höhe von 10 % der geretteten Vermögenswerte erhalten. StakeWise hat separat etwa 19,7 Millionen US-Dollar in osETH und osGNO für seine Nutzer zurückgewonnen.
Die Rückerstattungen sollen anteilig auf Basis der Balancer Pool Token (BPT) Bestände zum Zeitpunkt des Exploits erfolgen. Liquiditätsanbieter erhalten eine Entschädigung in den gleichen Token-Typen, die sie ursprünglich verloren haben.
Trotz 11 externer Audits durch vier verschiedene Sicherheitsfirmen konnte der Angriff stattfinden. Dies verdeutlicht Schwächen in traditionellen Code-Review-Methoden und wirft Fragen nach der Effektivität von Audits bei der Verhinderung fortschrittlicher Exploits auf.
