DeFi-Protokoll Balancer für 100 Millionen Dollar gehackt und abgespaltene Projekte betroffen

TLDR

• Über 100 Millionen Dollar wurden am 3. November 2025 durch eine Ausnutzung des V2-Vertrags von Balancer abgezogen.
• Drei mit dem Angreifer verbundene Ethereum-Wallets halten gestohlene Vermögenswerte im Wert von 117 Millionen Dollar.
• Abgespaltene Projekte wie Beets.fi und Berachain waren aufgrund der Wiederverwendung des Codes betroffen.
• Der BAL-Token fiel um 5%, nachdem die Nachricht über die Ausnutzung von 100 Millionen Dollar öffentlich wurde.

Über 100 Millionen Dollar wurden von Balancer, einem der führenden dezentralisierten Finanz-Liquiditätsprotokolle (DeFi), bei einer größeren Sicherheitsverletzung gestohlen. Der Angriff hat auch mehrere abgespaltene Projekte betroffen, die denselben Open-Source-Code verwenden. Frühe Schätzungen zeigen, dass drei mit der Ausnutzung verbundene Ethereum-Wallets derzeit über 117 Millionen Dollar in digitalen Vermögenswerten halten, laut der Sicherheitsfirma HashDit.

Hack am 3. November 2025 entdeckt

Die Verletzung wurde am 3. November 2025 um 09:18 UTC gemeldet. Die Überwachungstools von HashDit markierten schnell ungewöhnliche Aktivitäten in mehreren Ethereum-Wallets. Der Angriff zielte hauptsächlich auf Balancers V2 Smart-Contracts ab, die verschiedene Liquiditätspools mit gestakten ETH-Tokens verwalten.

Blockchain-Daten zeigen, dass der Angreifer eine Logiklücke im Smart-Contract nutzte, um Pool-Guthaben zu manipulieren. Die Haupt-Wallet (0xaa76…8e3f) hält rund 100 Millionen Dollar in digitalen Vermögenswerten, davon 63,98% in WETH, 26,92% in osETH und 9% in wstETH. Zwei weitere mit der Ausnutzung verbundene Wallets wurden mit 13,5 Millionen Dollar bzw. 3,7 Millionen Dollar gefunden.

Der Hack ist der größte in der Geschichte von Balancer und zählt zu den größten DeFi-Ausnutzungen, die bisher im Jahr 2025 gemeldet wurden.

Abgespaltene Projekte Beets.fi und Berachain ebenfalls betroffen

Der Angriff endete nicht bei Balancer. Abgespaltene Projekte wie Beets.fi (Beethoven X) und Berachain waren aufgrund ihrer gemeinsamen Codebasis ebenfalls betroffen. HashDit alarmierte mehrere Teams kurz nach der Entdeckung der Sicherheitsverletzung.

Beets.fi bestätigte über Discord, dass seine Liquiditätspools einer internen Überprüfung unterzogen werden. Berachain pausierte seine Liquiditäts-Mining-Operationen als Vorsichtsmaßnahme. Während keine Angriffe auf der BNB Chain gemeldet wurden, wurden Entwickler, die Balancers Code verwenden, aufgefordert, Notfall-Audits durchzuführen, um die Sicherheit zu gewährleisten.

Abgespaltene Protokolle basieren oft auf demselben Code, was zu ähnlichen Schwachstellen führen kann, wenn sie nicht ordnungsgemäß getestet oder aktualisiert werden. Die Teams hinter den betroffenen Projekten haben noch keine vollständigen Details zu den Sicherheitsüberprüfungen oder möglichen Verlusten mitgeteilt.

Aufschlüsselung der gestohlenen Vermögenswerte und Schwachstellen

Laut Blockchain-Analyse hat der Angreifer drei Arten von Vermögenswerten abgezogen: WETH, osETH und wstETH. Diese werden häufig in Balancers V2-Liquiditätspools verwendet. Die Ausnutzung funktionierte durch Missbrauch der Berechnung von Pool-Guthaben in Smart-Contracts.

Die zweite Wallet (0x827…80f4) enthält 13,5 Millionen Dollar in ETH, osETH und wstETH. Die dritte (0x0453…941c) hält etwa 3,7 Millionen Dollar, hauptsächlich in einem nicht identifizierten Token, bei dem Analysten vermuten, dass es sich um einen Stablecoin handeln könnte.

Sicherheitsforscher stellten fest, dass Balancers V2-Verträge im Kern der Schwachstelle lagen. Sie warnten auch davor, dass Open-Source-DeFi-Projekte einem erhöhten Risiko ausgesetzt sind, wenn Code-Updates nicht regelmäßig durchgeführt werden.

Dieser Vorfall folgt auf frühere Probleme von Balancer. Im Jahr 2020 verlor es 500.000 Dollar durch eine Ausnutzung eines deflationären Tokens. Im Jahr 2023 erlitt es eine weitere Verletzung im Wert von 900.000 Dollar aufgrund einer ähnlichen Pool-Schwachstelle.

Marktreaktion und laufende Überwachung

Nach der öffentlichen Bekanntgabe fiel der Token von Balancer (BAL) innerhalb von Stunden um etwa 5%. Der breitere DeFi-Markt zeigte keine größeren Bewegungen, aber Sicherheitsteams in verschiedenen Protokollen begannen mit dringenden Überprüfungen ihres Smart-Contract-Codes.

Zum Zeitpunkt der letzten Aktualisierung wurde keine offizielle Erklärung von Balancer veröffentlicht. Analysten verfolgen weiterhin die mit dem Angriff verbundenen Wallets. Einige glauben, dass zentralisierte Börsen in der Lage sein könnten, Gelder einzufrieren, wenn der Angreifer versucht, sie auszuzahlen.

HashDit und andere Blockchain-Sicherheitsfirmen überwachen weiterhin die On-Chain-Aktivitäten. Bisher hat der Angreifer die gestohlenen Gelder nicht zu Mixern oder Börsen bewegt. Die nächsten Tage werden wahrscheinlich darüber entscheiden, ob die Vermögenswerte wiederhergestellt oder blockiert werden können.

Der Beitrag DeFi-Protokoll Balancer für 100 Millionen Dollar gehackt und abgespaltene Projekte betroffen erschien zuerst auf CoinCentral.