Balancer violato? la piattaforma di finanza decentralizzata di Ethereum perde 110 milioni di dollari in criptovalute

Balancer, protocollo di finanza decentralizzata (DeFi) con oltre 750 milioni di dollari in valore bloccato, è stato colpito da quello che sembra essere il più grave exploit della sua storia recente, con oltre 110 milioni di dollari in asset digitali trasferiti verso un nuovo wallet.

Fra gli asset sottratti figurano circa 6.850 osETH, 6.590 WETH e 4.260 wstETH, secondo dati on-chain analizzati; l’attacco ha interessato in particolare i vault collegati a Balancer V2.

Ulteriori analisi indicano che diversi vault di servizi e progetti costruiti sopra Balancer sono stati svuotati anche su reti e infrastrutture collegate come Sonic, Polygon e Base.

Come è avvenuto l’attacco

L’incidente è riconducibile a un difetto nel controllo degli accessi della funzione manageUserBalance. Il problema nasceva da una logica errata nella validazione, che confrontava msg.sender con un valore fornito dall’utente (op.sender), rendendo possibile una chiamata non autorizzata.

In pratica, la funzione di validazione consentiva agli attaccanti di sfruttare l’operazione UserBalanceOpKind.WITHDRAW_INTERNAL per prelevare saldi interni dai contratti intelligenti senza le autorizzazioni previste, attivando prelievi interni che bypassavano i controlli.

L’indirizzo dell’attaccante ha già iniziato a consolidare gli asset, aumentando il rischio che i fondi vengano ripuliti tramite mixer decentralizzati o ponti cross‑chain se non verranno bloccati o tracciati tempestivamente.

Impatto sui protocolli e sul mercato

La notizia dell’exploit ha avuto ripercussioni immediate sul mercato: il prezzo del token BAL è sceso di oltre il 5% rispetto al picco registrato pochi giorni prima. Si tratta inoltre del terzo incidente noto che coinvolge il progetto dopo eventi che nel 2021 e nel 2023 causarono perdite collettive per milioni di dollari.

Il modello architetturale introdotto con Balancer V2 concentra la custodia dei token in un unico core smart contract — il vault — invece di lasciare i fondi separati per ogni pool. Questa separazione tra contabilità dei token e logica dei pool semplifica lo sviluppo di nuovi pool e riduce la complessità delle singole implementazioni, ma introduce anche un punto unico di rischio se il contratto madre viene compromesso.

Progetti fork e servizi che si appoggiano al vault hanno subito conseguenze dirette: un progetto fork ha segnalato perdite superiori ai 3 milioni di dollari, mentre stime di mercato indicano che oltre 60 milioni di dollari sono attualmente bloccati in servizi costruiti sopra la versione 2 del protocollo, esponendo tali fondi al potenziale rischio di esaurimento in caso di exploit analoghi.

Rischi, mitigazioni e prospettive

L’evento sottolinea alcuni rischi strutturali della DeFi: contratti centrali che aggregano fondi possono diventare punti di fallimento critici; vulnerabilità logiche a livello di validazione possono permettere prelievi non autorizzati; e la velocità con cui gli attaccanti consolidano asset rende difficile il recupero senza contromisure preventive.

Le misure tipiche per ridurre l’impatto in questi scenari includono: patch immediate del codice interessato, pause temporanee delle funzionalità sensibili mediante meccanismi di emergency stop, collaborazione con le piattaforme di exchange per congelare indirizzi sospetti, indagini forensi on‑chain e la segnalazione alle autorità competenti. A medio termine sono raccomandati audit indipendenti, meccanismi di multisig e limiti operativi che riducano la superficie di attacco.

Per il settore è essenziale migliorare processi di testing formale, aumentare la trasparenza sulle pratiche di sicurezza e rafforzare i programmi di bug bounty, in modo da intercettare vulnerabilità critiche prima che possano essere sfruttate su larga scala.

Al momento del rilascio di questo rapporto, il team del protocollo non aveva ancora pubblicato una comunicazione ufficiale con i dettagli dell’incidente; si raccomanda agli utenti coinvolti di monitorare i canali ufficiali del progetto e di non interagire con indirizzi sospetti.