Die einst milliardenschwere DeFi-Plattform Balancer wurde Opfer eines Smart-Contract-Exploits. Angreifer zogen Vermögenswerte im Wert von ungefähr 128 Millionen US-Dollar aus mehreren Blockchain-Netzwerken ab.
Der Angriff betraf insbesondere die „V2 Composable Stable Pools“ des Protokolls. Die Exploit-Vorgänge erstreckten sich über mehrere Netzwerke - darunter Ethereum, Arbitrum, Base, Polygon und Berachain. Dass kampferprobte Protokolle mit zahlreichen Audits und einst Milliarden an Vermögenswerten solch schwerwiegende Fehler verbergen können, bedeutet einen schweren Rückschlag für das Vertrauen in den DeFi-Bereich.
Die besten Artikel der Woche direkt in ihre Mailbox geliefert.Abonnieren Sie unseren Newsletter
Der technische Ablauf
Die Angreifer nutzten eine Schwachstelle im Invariant-Mechanismus der Pools: Durch mehrere Swaps in einer einzigen Transaktion wurde der interne Wert des Pool-Tokens (BPT) künstlich gedrückt. Anschliessend wurden unterbewertete Pool-Tokens gekauft und schnell in “underlying Assets” umgewandelt. Balancer bestätigte, dass Version V3 der Pools nicht betroffen sei.
Schätzungen der Verluste schwanken - Security-Firmen sprechen von etwa 128.6 Mio. USD, wobei rund 99.6 Mio. USD allein auf Ethereum entwendet wurden. Kurz nach Bekanntwerden fiel auch das Total Value Locked (TVL) bei Balancer deutlich von über 700 Mio. USD auf unter 350 Mio. USD
Bedeutung für DeFi
Die Angreifer nutzten eine Schwachstelle im Re-Entrancy-Mechanismus bestimmter Balancer-Pools aus, die trotz mehrerer Audits unentdeckt geblieben war. Diese Lücke ermöglichte es, durch komplexe Transaktionsketten mehrfach Liquidität aus den betroffenen Smart Contracts abzuschöpfen. Bemerkenswert ist, dass Balancer bereits 2023 und 2024 ähnliche, wenn auch kleinere, Sicherheitsprobleme verzeichnete, was nun die Diskussion um die Effektivität von Smart-Contract-Audits erneut entfacht.
Selbst umfangreiche Audits bieten keine Garantie gegen Exploits. Balancer hatte mehrere Sicherheits-Audits durchgeführt, darunter durch namhafte Firmen, doch dies schützte nicht gegen das gezielte Angreifen einer komplexen Invariant-Schwachstelle.
Nach dem Angriff reagierte das Balancer-Team umgehend und setzte alle betroffenen Smart Contracts auf “pause mode”, um weitere Abflüsse zu verhindern. Gleichzeitig wurde die Community über ein offizielles Sicherheits-Update informiert, in dem die Entwickler bestätigten, dass nur Pools der V2-Generation betroffen waren. Mehrere führende Blockchain-Security-Firmen, darunter PeckShield und BlockSec, begannen sofort mit der On-Chain-Analyse der Angreiferadressen.
Today, around 7:48 AM UTC, an exploit affected Balancer V2 Composable Stable Pools.
Our team is working with leading security researchers to understand the issue and will share additional findings and a full post-mortem as soon as possible.
Because these pools have been live… pic.twitter.com/LRLNNXogt3
— Balancer (@Balancer) November 3, 2025
