balancer is net leeggehaald voor ~$116M dit was niet geavanceerd. het was een basisfout in de toegangscontrole in hun vault-contract hier is hoe het gebeurde, wat het onthult - en waarom het elke defi-protocol dat nog leeft zou moeten laten schrikken: 1/

de exploit heeft vandaag balancer v2 getroffen op ethereum, arbitrum, polygon, base, optimism, en meer over $116M verdwenen. 6.590 WETH. 6.851 osETH. 4.260 wstETH alle getrokken uit de core vault op 0xBA1...BF2C8 2/

de bug zat in "manageUserBalance" - een functie die zou moeten valideren wie fondsen kan verplaatsen in plaats daarvan verwarde het msg.sender met een door de gebruiker opgegeven op.sender veld aanvallers gebruikten WITHDRAW_INTERNAL operaties om tokens te onttrekken die ze nooit hadden gestort 3/

wat maakt dit erger? balancer V2 gebruikt een enkele vault voor alles. elke pool, elke keten. raak de vault, raak ze allemaal. veel forks lopen ook risico. 4/

dit is de derde grote hack van balancer in vijf jaar 2021, 2023 en nu 2025: $116M+ en tellen 5/

laten we uitzoomen. balancer is geen experiment. $750M TVL. geaudit. al jaren live. en toch: een basisfout in de toegangscontrole zat in productie, audits hebben het gemist, geen goede verzendervalidatie, fondsen gemengd in één centrale vault. 6/

dit is de derde grote hack van Balancer in vijf jaar 2021: miljoenen verloren 2023: $238K na gewaarschuwd te zijn 2025: $116M+ dit is niet alleen een probleem van Balancer. het is een probleem van de defi-illusie "geaudit" =/= veilig. "battle-tested" =/= beveiligd 7/

afhaalpunt: basis toegangscontrolefouten vernietigen nog steeds blue-chip protocollen als je aan het bouwen bent: controleer elke machtigingscontrole twee keer. als je een gebruiker bent: "geauditeerd" betekent dat iemand één keer heeft gekeken, niet dat het waterdicht is dit was niet geavanceerd. we zijn gewoon onoplettend 8/

defi kan beter. maar eerst moeten we toegeven: de basisprincipes zijn nog steeds belangrijker dan de hype. ik zal meer posten naarmate het onchain pad zich ontwikkelt 9/

er zijn een paar rapporten dat de aanvaller niet alleen gebruik maakte van permissies. ze manipuleerden de BPT-prijzen door precisieverlies in de StableSwap-wiskunde. - drain één token naar een afrondingsrand - exploitatie van afrondingsfouten om de BPT-prijs te verlagen - koop BPT goedkoop terug, winst /10

meer details hier over hoe prijsmanipulatie werd uitgevoerd[1] ik wacht nog steeds op de officiële reactie van de balancer. zal de thread blijven bijwerken naarmate de zaken zich ontvouwen. [1]