- Balancer hat einen Exploit seiner v2-Pools bestätigt. On-Chain-Beobachter beziffern die abgeflossenen Vermögenswerte auf etwa 129 Mio. US-Dollar, darunter WETH, osETH, wstETH, sfrxETH und rsETH.
- Betroffen sind laut Analysen mehrere Netzwerke (u. a. Ethereum, Base, Optimism, Sonic, Polygon, Berachain). Angreifer konvertieren gestohlene LST-Bestände in Echtzeit in ETH; ein inaktiver „Wal“ zog nach dem Vorfall 7,38 Mio. US-Dollar aus Balancer ab.
Der DeFi-Automated-Market-Maker Balancer hat am 3. November einen Sicherheitsvorfall bestätigt, der v2-Pools betrifft. Engineering- und Security-Teams untersuchen den Angriff; parallel beobachten On-Chain-Analysten, dass die Täter native Token aus Liquid-Staking-Protokollen (LSTs) in ETH umbuchen. Frühindikatoren deuten auf koordiniertes Verhalten über mehrere Chains hin; offizielle forensische Details stehen noch aus.
Ablauf des Angriffs und betroffene Vermögenswerte
Hinweise aus Monitoring-Feeds und Sicherheitskanälen zeigen, dass die Angreifer größere LST-Bestände aus Balancer-Pools abgezogen und schrittweise in WETH/ETH getauscht haben. Unter den identifizierten Assets befinden sich WETH, osETH, wstETH, sfrxETH und rsETH. Das Security-Dashboard von Drittanbietern weist aggregierte Abflüsse von rund 129 Mio. US-Dollar aus, überwiegend Ethereum-gebundene Positionen.
Die Netzwerkreichweite des Angriffs erstreckt sich laut On-Chain-Daten über Ethereum, Base, Optimism, Sonic, Polygon und Berachain. Bemerkenswert ist, dass die Adresse 0x009 – ein zuvor inaktiver Wal – kurz nach Bekanntwerden des Vorfalls Assets im Gegenwert von 7,38 Mio. US-Dollar aus Balancer abzog. Ob es sich um präventive Selbstsicherung oder um eine Verbindung zum Exploit handelt, ist offen; die zeitliche Korrelation verstärkt jedoch die Marktverunsicherung.
Balancer selbst spricht von einem laufenden Incident-Response-Prozess. Übliche Maßnahmen in vergleichbaren Situationen – etwa Warnhinweise an LPs, die Prüfung von Notfall-Schaltern auf Pool- oder Vault-Ebene sowie Koordination mit Börsen und Brückenbetreibern – sind branchenüblich; konkrete Anweisungen sollten Nutzer ausschließlich den offiziellen Kanälen entnehmen.
Konsequenzen für Liquiditätspools und nächste Schritte
Für Liquiditätsanbieter (LPs) steht die Bewertung des eigenen Exposures im Vordergrund. Relevante Prüfpunkte sind:
• Welche Pools wurden konkret betroffen, und in welchen Assets liegt das eigene Exposure.
• Ob Abhebungen oder Rebalancings ohne unverhältnismäßige Slippage möglich sind.
• Ob Freigaben (Approvals) gegenüber Balancer-Contracts oder angrenzenden dApps angepasst bzw. entzogen werden sollten, sobald offizielle Handlungsempfehlungen vorliegen.
Auf Protokollebene wird entscheidend sein, ob der Exploit auf Pool-Konfigurationen, Composer/Router-Interaktionen, Preismechaniken oder Drittkomponenten zurückgeht. Die Root-Cause-Analyse und ein sauber dokumentierter Post-Mortem-Bericht sind Voraussetzung, um Vertrauen wiederherzustellen.
Für betroffene Pools dürften Rettungs- oder Rekuperationsmechanismen (z. B. Blacklist/Freeze bestimmter Abflüsse über Partnerbörsen, Koordination mit Brücken, Belohnungen für Whitehat-Rückgaben) geprüft werden.
Für den Markt gelten kurzfristig bewährte Vorsichtsregeln: Limit-Orders statt Market-Sweeps bei Umschichtungen, striktes Monitoring der Preis-Orakel und der Pool-Health-Metriken sowie der Chain-übergreifenden Flüsse der Exploit-Adressen. Protokolle, die LST-Paare oder Balancer-Composable-Strategien nutzen, sollten Abhängigkeiten identifizieren und gegebenenfalls Parameter (Fees, Weights, Caps) temporär anpassen, um Sekundäreffekte zu begrenzen.
Regulatorisch bringt der Vorfall die bekannten Fragen zurück: Haftung und Sorgfaltspflicht dezentraler Betreiber, Versicherungslösungen für Smart-Contract-Risiken und Offenlegungsstandards für Sicherheitsereignisse. Für professionelle Adressen ist neben der technischen Reparatur die Kommunikationsqualität entscheidend: zeitnahe Status-Updates, klar benannte betroffene Pools/Assets, Roadmap für Fixes und – wo möglich – Optionen zur Schadensminderung.
Wie stark der Schaden am Ende ausfällt, hängt von drei Faktoren ab: der Effizienz der Eindämmung, der Kooperation von Infrastruktur-Partnern bei der Rückführung gestohlener Assets und der Geschwindigkeit, mit der Sicherheits-Patches ausgerollt werden. Bis dahin bleibt Nutzern, sich an offizielle Hinweise zu halten, Risiken konservativ zu managen und nur auf verifizierte Adressen und Verträge zu interagieren.
