11 audit in 5 anni, 6 furti: perché Balancer, nonostante una storia piena di incidenti, ha ancora dei fan?

Deng Tong, Jinse Finance

Il 3 novembre 2025, il protocollo DeFi Balancer è stato vittima di un attacco hacker che ha portato al furto di oltre 100 milioni di dollari in asset digitali. Il team di Balancer ha dichiarato: "Abbiamo notato una possibile vulnerabilità nelle pool Balancer v2, i nostri team di ingegneria e sicurezza stanno dando la massima priorità all'indagine".

Questo articolo ripercorre l'attacco subito da Balancer, elenca le reazioni di diverse parti, fa il punto sui precedenti incidenti di Balancer e analizza perché, nonostante i frequenti problemi di sicurezza, Balancer abbia ancora molti sostenitori.

I. Revisione dell'attacco a Balancer

Lunedì, l'exchange decentralizzato e market maker automatico Balancer è stato attaccato da hacker, con oltre 116 milioni di dollari in asset digitali trasferiti a un portafoglio appena creato.

Lunedì, il team di Balancer ha pubblicato su X: "Abbiamo notato una possibile vulnerabilità che potrebbe influenzare le pool Balancer v2. I nostri team di ingegneria e sicurezza stanno indagando con la massima priorità". Ulteriori aggiornamenti saranno condivisi appena disponibili.

I primi dati on-chain mostrano che Balancer ha subito un attacco con una perdita di 70,9 milioni di dollari in liquid staking Ethereum. I log di Etherscan mostrano che Ethereum è stato trasferito in un nuovo portafoglio tramite tre transazioni.

La piattaforma di intelligence crittografica Nansen ha dichiarato in un post su X che gli asset rubati includono 6.850 StakeWise staked ETH (OSETH), 6.590 Wrapped Ether (WETH) e 4.260 Lido wstETH (wSTETH).

Tuttavia, il valore degli asset rubati non si limita ai 70,9 milioni di dollari iniziali, ma continua a crescere. Secondo la piattaforma di dati blockchain Lookonchain, alle 8:52 di lunedì mattina (UTC+8), l'ammontare totale degli asset rubati aveva superato i 116,6 milioni di dollari.

Balancer ha lanciato un appello on-chain: è disposto a pagare il 20% degli asset rubati come ricompensa white-hat per il recupero dei fondi, valido per 48 ore. Se i fondi non saranno restituiti entro le 48 ore successive, Balancer continuerà a collaborare con esperti di forensics blockchain e forze dell'ordine per identificare i responsabili. Balancer ha sottolineato: "I nostri partner sono fortemente convinti che, grazie ai metadati dei log di accesso raccolti dalla nostra infrastruttura, sia possibile identificare la vostra identità; questi metadati mostreranno connessioni da un gruppo definito di indirizzi IP/ASN e i timestamp di ingresso associati alle attività on-chain".

Poco dopo, Balancer ha twittato: "Abbiamo notato una possibile vulnerabilità nelle pool Balancer v2. I nostri team di ingegneria e sicurezza stanno dando la massima priorità all'indagine. Una volta ottenute ulteriori informazioni, condivideremo rapidamente aggiornamenti verificati e le misure successive".

Balancer ha pubblicato su X: "Oggi, intorno alle 7:48 UTC, la Composable Stable Pool V2 di Balancer è stata attaccata. Il nostro team sta collaborando con i migliori ricercatori di sicurezza per indagare sulle cause e condividerà i risultati e un'analisi post-mortem completa appena possibile. Poiché queste pool sono operative on-chain da anni, molte di esse hanno superato la finestra di sospensione. Tutte le pool ancora sospendibili sono state messe in pausa e sono in modalità di recupero. Le altre pool di Balancer non sono state colpite. Il problema riguarda solo le Composable Stable Pool V2 e non coinvolge Balancer V3 o altri tipi di pool. Avviso di sicurezza: stanno circolando online alcune truffe che si spacciano per il team di sicurezza di Balancer; non sono comunicazioni ufficiali. Non interagite con queste fonti sconosciute né cliccate su link sospetti.”

Secondo il monitoraggio dell’analista on-chain Yu Jin, questa notte StakeWise ha recuperato 5.041 osETH (19,3 milioni di dollari) dagli hacker di Balancer tramite una chiamata contrattuale. Di conseguenza, gli asset rubati da Balancer sono scesi da 117 milioni a 98 milioni di dollari. L’hacker ha progressivamente convertito LST in ETH, e ora più della metà degli asset rubati sono stati scambiati in ETH.

II. Analisi delle cause del furto

Balancer ha subito un attacco di tipo accounting bug. Trading Strategy, Nansen e Phalcon hanno spiegato l’attacco da diverse prospettive.

Mikko Ohtamaa, CEO e cofondatore di Trading Strategy, ha sottolineato che un’analisi preliminare indica che la causa principale potrebbe essere un difetto nei controlli degli smart contract.

Nicolai Sondergaard, analista di ricerca di Nansen, ha affermato che l’attaccante potrebbe aver “falsificato un grande deposito di commissioni nell’account delle fee di Balancer, poi ha cliccato sul pulsante di prelievo, convertendo WETH in contanti, trasformando di fatto punti fittizi in denaro reale”.

I risultati preliminari della società di sicurezza blockchain Phalcon indicano che l’obiettivo dell’attaccante erano i Balancer Pool Tokens (BPT), che rappresentano la quota degli utenti nelle pool di liquidità. Secondo l’azienda, la vulnerabilità deriva dal modo in cui Balancer calcola il prezzo della pool durante gli scambi in batch. L’attaccante ha manipolato questa logica, distorcendo le informazioni sui prezzi interni e creando uno squilibrio artificiale, riuscendo così a prelevare token prima che il sistema si autoriparasse.

L’analista crypto Adi ha sottolineato: “Un’autorizzazione impropria e una gestione errata delle callback hanno permesso all’attaccante di aggirare le misure di sicurezza. Questo ha consentito di effettuare scambi non autorizzati o manipolazioni dei saldi tra pool interconnesse, esaurendo gli asset in pochi minuti”.

Conor Grogan di Coinbase ha osservato che i metodi dell’attaccante mostrano un alto livello di professionalità: l’indirizzo dell’attaccante è stato inizialmente finanziato con 100 ETH tramite Tornado Cash, il che suggerisce che i fondi provengano da precedenti exploit. “Di solito non si depositano 100 ETH su Tornado Cash per gioco”, ha commentato, segnalando un hacker esperto.

III. Reazioni all’attacco a Balancer

1. Il mercato crypto crolla

L’impatto negativo del furto su Balancer, unito alla pressione di vendita di quasi 100 milioni di dollari da parte degli hacker, ha portato a un calo generale del mercato crypto, con SOL che nelle 24 ore ha perso quasi il 10%. Al momento della pubblicazione, BTC era a 104.577 dollari (UTC+8), in calo del 2,6% nelle 24 ore; ETH a 3.506 dollari (UTC+8), in calo del 5,6% nelle 24 ore.

BAL, il token di governance nativo del protocollo Balancer, ha registrato un calo a doppia cifra. Al momento della pubblicazione, BAL era a 0,8376 dollari (UTC+8), in calo del 12,6% nelle 24 ore.

2. Progetti fork di Balancer colpiti

Marcin, cofondatore di Redstone, ha avvertito su X che i progetti fork di Balancer, come Beets su Sonic, sembrano essere stati colpiti. Secondo i dati di DefiLlama, in poco più di un’ora, il TVL di BEX è sceso rapidamente da 54 milioni a circa 41 milioni di dollari (UTC+8), con un calo superiore al 24%. Inoltre, anche BEX su Berachain potrebbe essere stato colpito, con il TVL di Beets a circa 10 milioni di dollari (UTC+8), in calo di oltre il 30% in mezz’ora.

L’account ufficiale di Sonic ha dichiarato su X che, a causa dell’attacco hacker a Balancer che ha coinvolto il progetto Beets dell’ecosistema Sonic, il team ha implementato una misura di sicurezza che sarà attivata nel prossimo upgrade di rete. Inoltre, i due wallet collegati all’hacker (0xf19f, 0x0453) sono stati congelati in attesa di ulteriori indagini. Sonic collaborerà con il team di Beets per le prossime azioni.

La Berachain Foundation ha dichiarato che i validatori hanno coordinato la sospensione della rete Berachain per consentire al core team di eseguire un hard fork di emergenza e risolvere le vulnerabilità di BEX legate a Balancer V2. La sospensione della rete è pianificata e il servizio sarà ripristinato a breve.

Anche GoPlus ha dichiarato sui social media che tutti i progetti DeFi fork di Balancer sono stati colpiti dalla vulnerabilità e diversi protocolli sono già stati attaccati. Si consiglia di consultare l’elenco dei fork di Balancer su DefiLlama e di interrompere immediatamente ogni interazione, ritirando gli asset per sicurezza.

3. Lido ha ritirato le sue posizioni Balancer non colpite

Lido ha dichiarato che alcune pool BalancerV2 sono state attaccate. Il protocollo Lido non è stato colpito e tutti i fondi degli utenti sono al sicuro. Per precauzione, il team di gestione Veda di Lido GGV ha ritirato le sue posizioni Balancer non colpite. Tutti i fondi Lido Earn restano sicuri.

4. xUSD perde il peg, crollo del 75,7%

Nelle ultime 24 ore (UTC+8), Staked Stream USD (XUSD) ha perso il peg di circa il 75,7%, come effetto domino dell’attacco hacker a Balancer. Stream Finance ha dichiarato che un gestore esterno di fondi ha segnalato una perdita di circa 93 milioni di dollari nei fondi Stream sotto la sua supervisione. Stream ha incaricato gli avvocati Keith Miller e Joseph Cutler dello studio Perkins Coie LLP di guidare un’indagine completa. Attualmente, Stream sta ritirando tutti gli asset liquidi e ha annunciato la sospensione di tutti i depositi e prelievi, con aggiornamenti regolari sui progressi.

5. Whale ritira i fondi

A causa dell’attacco hacker, la whale 0x0090, inattiva da 3 anni, si è appena risvegliata dopo l’attacco a Balancer, ritirando d’urgenza tutti i suoi 6,5 milioni di dollari da Balancer (UTC+8).

6. Reazioni degli utenti

Il content creator PythiaCrypto ha sottolineato: "Dal punto di vista legale e della sicurezza, cos’altro si può fare? L’unica soluzione è trovare i fondi rubati, congelarli e restituirli ai derubati. Se questo non è possibile, non c’è modo di ritenere responsabili i ladri né di risarcire le vittime".

Altri utenti hanno espresso indignazione:

“Questa è una delle vulnerabilità con il più alto potenziale di exploit della storia.”

“Dopo una perdita di 116 milioni, parlare ancora di ‘potenziale’ è pura follia.”

“XMR riceverà un’iniezione di 110 milioni di dollari.”

“Dal protocollo Cetus a Nemo Finance, fino a Balancer Finance? Tutto questo nello stesso anno! Dovremmo preoccuparci di usare la finanza decentralizzata? È questo il ‘futuro della finanza’, giusto?”

IV. Undici audit e ancora hackerati: il passato oscuro di Balancer

Quanti audit ha subito Balancer? 11.

Suhail Kakar, responsabile delle relazioni con gli sviluppatori di TAC Blockchain, ha dichiarato: “Balancer ha subito oltre dieci audit, il suo treasury è stato controllato da diverse aziende per tre volte, ma è stato comunque hackerato con una perdita di 1,1 miliardi di dollari. Il settore deve capire che ‘auditato da X’ conta poco. Il codice è difficile, la DeFi ancora di più.”

Secondo la lista degli audit di Balancer V2 su GitHub, quattro diverse società di sicurezza — OpenZeppelin, Trail of Bits, Certora e ABDK — hanno effettuato 11 audit sugli smart contract della piattaforma, l’ultimo dei quali da parte di Trail of Bits a settembre 2022 sulle stable pool.

L’analista crypto Antyzo ha sottolineato: “Risparmiare sugli audit di sicurezza si ritorce sempre contro. Speriamo che i fondi degli utenti siano al sicuro. Per qualsiasi protocollo DeFi, l’audit è una necessità di base, non una spesa opzionale.”

ReiSoleil, cofondatore di UntradenOrg, ha osservato: “Il silenzio degli auditor è assordante.”

Neighman, cofondatore di PegaX, ha dichiarato: “Balancer ha subito numerosi audit e aveva una ricompensa bug bounty da 1 milione di dollari, ma si trova comunque di fronte a questo disastro. In questo settore, la sicurezza non deve mai essere sottovalutata, è il requisito minimo. Lo stesso vale per le piattaforme di trading on-chain.”

Per molto tempo, Balancer è stato considerato una scelta conservativa per i fornitori di liquidità, un luogo dove depositare asset e ottenere rendimenti stabili. La sua lunga storia, il rigoroso sistema di audit e l’integrazione con le principali piattaforme DeFi hanno creato l’illusione che la longevità equivalga a sicurezza. Tuttavia, i recenti incidenti di sicurezza hanno infranto questa convinzione.

In passato, Balancer ha già subito diversi attacchi hacker.

1. Nel giugno 2020, Balancer ha subito un attacco che sfruttava una vulnerabilità nei token deflazionistici, con una perdita di 520.000 dollari. L’attaccante ha sfruttato una gestione impropria dei token deflazionistici da parte di Balancer, prendendo in prestito 104.000 ETH tramite un flash loan da dYdX e scambiando ripetutamente tra STA ed ETH per 24 volte. Poiché Balancer non calcolava correttamente il saldo effettivo dopo ogni trasferimento, il pool di STA è stato esaurito fino a 1 wei, e l’attaccante ha sfruttato il grave squilibrio di prezzo per scambiare una piccola quantità di STA con grandi quantità di ETH, WBTC, LINK e SNX.

2. Nel marzo 2023, Balancer è stato coinvolto nell’incidente Euler, perdendo 11,9 milioni di dollari. Euler Finance ha subito un attacco flash loan da 197 milioni di dollari, e il pool bb-e-USD di Balancer, che deteneva eToken di Euler, ha perso circa 11,9 milioni di dollari, pari al 65% del TVL del pool.

3. Nell’agosto 2023, la pool V2 di Balancer è stata colpita da un attacco di precisione, con una perdita di 2,1 milioni di dollari. L’attaccante ha manipolato con precisione il calcolo dell’offerta di BPT (Balancer Pool Token), riuscendo così a prelevare asset dal pool a un tasso di cambio scorretto tramite più flash loan.

4. Nel settembre 2023, Balancer ha subito un attacco di hijacking DNS, con una perdita di 240.000 dollari. L’hacker ha violato il registrar EuroDNS tramite social engineering, dirottando il dominio balancer.fi e reindirizzando gli utenti su un sito di phishing che utilizzava smart contract malevoli Angel Drainer per indurre gli utenti ad autorizzare trasferimenti, riciclando poi i fondi tramite Tornado Cash.

5. Nel giugno 2024, Balancer è stato coinvolto nell’attacco a Velocore, perdendo 6,8 milioni di dollari. L’attaccante ha sfruttato una vulnerabilità di overflow nel contratto CPMM stile Balancer di Velocore, manipolando il moltiplicatore delle fee oltre il 100%, causando errori di calcolo e, tramite flash loan e prelievi mirati, ha rubato circa 6,8 milioni di dollari.

V. Perché, nonostante i furti, Balancer ha ancora fan fedeli?

Anche se Balancer, dal suo lancio nel 2020, è stato spesso al centro di incidenti di sicurezza, molti utenti restano suoi fedeli sostenitori.

La ragione principale è che Balancer non è solo un exchange decentralizzato, ma anche un AMM (automated market maker) che supporta pool multi-asset, pesi programmabili, fee dinamiche, pool Boosted composite e altro. Molti progetti e strategie DeFi (come Yearn, Aura, BeethovenX, ecc.) dipendono direttamente dal protocollo Balancer come layer di liquidità sottostante. Pertanto, anche in presenza di incidenti di sicurezza, l’inerzia dell’ecosistema di questi protocolli mantiene la base utenti.

Inoltre, poiché Balancer è un protocollo AMM che consente agli utenti di creare e gestire pool di liquidità personalizzate, supportando combinazioni di asset e pesi diversi, attira molti fornitori di liquidità e trader professionisti che possono ottimizzare la configurazione della liquidità secondo le proprie strategie per ottenere rendimenti più elevati. L’algoritmo di Balancer consente di utilizzare la liquidità in modo più efficiente, offrendo prezzi migliori e minore slippage rispetto agli AMM tradizionali. Questo è molto importante per chi effettua grandi o frequenti operazioni, riducendo i costi di trading.

VI. Possiamo ancora fidarci della DeFi?

Hasu, direttore strategico di Flashbots e consulente strategico di Lido, ha dichiarato che Balancer v2, lanciato nel 2021, è diventato uno degli smart contract più osservati e forkati. Questo è molto preoccupante. Ogni volta che un contratto così longevo viene attaccato, l’adozione della DeFi subisce un ritardo di 6-12 mesi.

Harry Donnelly, fondatore e CEO di Circuit, ha affermato che la fuga di dati di Balancer è un “grave avvertimento” per l’ecosistema DeFi, sottolineando che Balancer è “uno dei brand più affidabili del settore” e “un pioniere con una cultura della compliance, audit rigorosi e disclosure pubbliche”. Questa trasparenza ha aiutato Balancer ad avere successo, ma lo rende anche più vulnerabile agli attacchi. “Se la DeFi vuole davvero sfidare la finanza tradizionale, deve essere proattiva nella resilienza e nella risposta, non solo limitarsi a correggere vulnerabilità e congelare fondi dopo i fatti.”

Vladislav Ginzburg, fondatore e CEO di OneSource, ha dichiarato: “Gli smart contract e l’ingegneria finanziaria fanno parte dei rischi di investimento DeFi. Gli audit degli smart contract sono quindi fondamentali. Non credo che la vulnerabilità di Balancer rappresenti un nuovo paradigma, quindi non dovrebbe cambiare la fiducia o i fattori di rischio. La situazione resta invariata.”

Anche Kadan Stadelmann, CTO della piattaforma Komodo, ha espresso opinioni simili, affermando che gli utenti core della DeFi non si lasceranno scoraggiare, ma gli investitori istituzionali potrebbero essere influenzati. “Sono proprio questi attacchi hacker nel settore DeFi che spingono gli investitori istituzionali e alternativi a orientarsi verso strategie puramente Bitcoin.”