Crypto-hack van $120 miljoen wordt toegeschreven aan een exploit in kantoorruimtestijl

Eerder deze week werd een kritieke kwetsbaarheid in het gedecentraliseerde financiële (DeFi) protocol Balancer uitgebuit, met cryptoverliezen die naar schatting $120 miljoen of meer waard waren. Hoewel het aanvankelijk onduidelijk was hoe de exploit werkte, gaf een voorlopig rapport van het team achter Balancer aan dat het vooral te maken had met de manier waarop het protocol omging met het afronden van cryptotokenbalansen.

Deze exploit van Balancer schokte velen in het DeFi-ecosysteem, aangezien dit een project is dat veel beveiligingsaudits heeft ondergaan door gerespecteerde bedrijven, en de specifieke versie van het protocol die werd geëxploiteerd, al sinds 2021 in het wild bekend was.

In een interview met CNBC's Squawk Box op woensdagochtend vergeleek Chris Krebs, voormalig directeur van de Cybersecurity and Infrastructure Security Agency, de Balancer-exploit met de opzet van Office Space, waarbij het idee was om fracties van een cent af te romen van de bovenkant van vele individuele transacties. Krebbs wees ook op het mogelijke gebruik van kunstmatige intelligentie bij het schrijven van de exploitcode als een ander interessant aspect van de situatie.

Zonder te diep in te gaan op de technische details, volgt hier in grote lijnen wat er met de exploit gebeurde, volgens de eigen analyse van Balancer.

De kern van deze chaos was een afrondingsfout in de code van Balancer met betrekking tot de verwerking van transacties, met name batch swaps waarbij meerdere transacties tussen verschillende cryptovaluta's in één transactie kunnen worden gebundeld. Dit is bedoeld om gebruikers te helpen besparen op gas, wat in feite de cryptovaluta-kosten zijn voor interactie met een blockchain-gebaseerd smart contractplatform zoals Balancer.

⚖️ Balancer Hack TL;DR:

🧮 De meeste tokens op Ethereum gebruiken 18 decimalen, maar sommige niet.

✖️ Balancer verhoogt tokenbedragen (naar 18-dec) en verlaagt ze vervolgens weer.

🔧 Upscaling wordt altijd naar BENEDEN afgerond, maar downscaling kan ook naar BOVEN of BENEDEN worden afgerond.

😬 Hoe meer schaalstappen er nodig zijn, hoe…

— Austin Griffith (@austingriffith) 5 november 2025

Tijdens een bepaalde versie van dit type swap, bekend als EXACT_OUT, moet de code van Balancer getallen omhoog of omlaag schalen om de berekeningen nauwkeuriger te maken (vergelijk het met het omrekenen van centen naar dollars). Maar het systeem rondde soms naar beneden af ​​op een manier die kleine onevenwichtigheden veroorzaakte.

Bij herhaalde transacties konden hackers deze kleine gaten misbruiken om de balans van de pool te manipuleren, vandaar Krebs' vergelijking met het plan in Office Space . Er was nog wat extra manipulatie, maar deze afrondingsfout was de belangrijkste fout die de hacker de kans bood.

Hoewel de Balancer-exploit schokgolven door het DeFi-ecosysteem stuurde, slaagden sommige blockchains erin de beloning voor de hacker te beperken door simpelweg activa te bevriezen. Dit staat haaks op de filosofie ' code is wet ' die oorspronkelijk centraal stond bij cryptoplatforms die zich richtten op meer expressieve smart contracts, zoals Ethereum.

Sommige voorstanders van DeFi vreesden dat een hack van een breed vertrouwd protocol als Balancer het vertrouwen in de DeFi-sector in het algemeen zou ondermijnen. Het is echter duidelijk dat een groot deel van deze activiteiten nog steeds grotendeels centraal wordt aangestuurd en op een vergelijkbare manier kan functioneren als traditionele fintechplatforms .

Iedereen beweert maar al te graag dat er sprake is van “crypto-economische veiligheid”, totdat de Lazarus Groep opduikt.

— Matthew Green is op BlueSky (@matthew_d_green) 6 november 2025

Volgens Unchained hebben de Polygon- en Sonic-blockchains na de exploit effectief een deel van de activa van de Balancer-hacker bevroren of "gecensureerd" om te voorkomen dat de fondsen in de toekomst ergens anders heen zouden gaan. Berachain ging zelfs zo ver dat ze een nood-hardfork implementeerden waarmee de slachtoffers van de hack hun fondsen konden terugkrijgen .

Dit doet denken aan de acties die Ethereum-ontwikkelaars hebben ondernomen na de beruchte hack van The DAO bijna tien jaar geleden, in de begindagen van het cryptonetwerk. En het is duidelijk dat crypto nog steeds worstelt met de afweging tussen iedereen volledige controle geven over hun eigen digitale geld en vervolgens niemand hebben om zich tot te wenden als er iets misgaat.

Sommigen hebben opgemerkt dat het zinvol is om dit soort zijwieltjes-achtige beschermingsmaatregelen te implementeren op minder ontwikkelde cryptonetwerken, maar anderen zien dit als nog een voorbeeld van hoezeer de veronderstelde decentralisatie in de ruimte meer theater is dan technische realiteit, zoals ook bleek tijdens de recente downtime van Amazon Web Services .