Balancer 100 Milyon Doların Üzerinde Hacklendi — Çatallanan Projeler de Saldırı Altında

Siber güvenlik şirketi @HashDit, merkeziyetsiz finans dünyasının önde gelen borsa ve likidite protokollerinden Balancer’ın 100 milyon dolardan fazla bir kayba uğradığını duyurdu. Saldırının ayrıca @beets_fi (Beethoven X) ve @berachain gibi Balancer tabanlı çatallanmış projeleri de hedef aldığı bildirildi. Bu durum DeFi topluluğunda ciddi endişe yarattı.

🚨 HashDit BREAKING Alert@Balancer has been compromised for >$100M worth of funds now. Several forked projects like @beets_fi and @berachain have also been targeted.

Based on our scans, no notable BNBchain projects have been affected at the moment, but any forked projects… pic.twitter.com/d4RQzwImGx

— HashDit | now with Pro Extension (@HashDit) November 3, 2025

Olay 3 Kasım 2025’te, UTC 09:18 civarında tespit edildi. HashDit’in izleme araçları, toplam 117.461.646 dolar tutarında varlık barındıran üç ana Ethereum adresi belirledi. Bu adreslerin saldırgana veya ele geçirilmiş cüzdanlara ait olduğu düşünülüyor.

Saldırının Kapsamı ve Ayrıntıları

İlk blokzincir verileri, saldırganın WETH, osETH ve wstETH gibi Balancer V2 likidite havuzlarında sıkça kullanılan varlıkları boşalttığını ortaya koyuyor.

• 0xaa76…8e3f: Yaklaşık 100 milyon dolar, ağırlıklı olarak WETH (%63,98), osETH (%26,92) ve wstETH (%9).
• 0x827…80f4: 13,5 milyon dolar, ETH, osETH ve wstETH karışımı.
• 0x0453…941c: Yaklaşık 3,7 milyon dolar, ağırlıklı olarak tanımlanamayan bir token (muhtemelen bir stablecoin).

Saldırı, Balancer’ın stake edilmiş ETH likidite havuzlarını yöneten V2 akıllı sözleşmelerini hedef aldı. Uzmanlara göre, saldırganın havuz bakiyelerini manipüle etmesini sağlayan bir akıllı sözleşme mantık hatasından yararlanıldı. Açık kaynaklı kod tabanındaki miras alınan güvenlik açıkları, Balancer’ın çatallanan sürümlerini de etkiledi. Bunlar arasında Beets.fi (Fantom) ve Berachain de yer alıyor.

Geçmişteki İhlaller ve Tarihçe

Balancer daha önce de benzer güvenlik ihlalleri yaşamıştı:

• 2020: Deflasyonist token açığından dolayı yaklaşık 500 bin dolar kayıp.
• 2023: Havuz açıklarının büyümesi sonucu yaklaşık 900 bin dolar zarar.
• Ancak bu son saldırı, bugüne kadarki en büyük ihlal olarak kayda geçti ve yılın en ciddi DeFi saldırılarından biri haline geldi.
• CoinDesk verilerine göre, saldırı haberinin ardından BAL token birkaç saat içinde %5 değer kaybetti.

Çatallanan Projelerde Kırmızı Alarm

HashDit’in uyarısı sonrasında bazı çatallanan projeler önlem amaçlı çevrimdışı hale geldi. Beets.fi, Discord üzerinden havuzlarının inceleme altında olduğunu açıkladı. Berachain ise araştırma yapmak üzere likidite madenciliğini geçici olarak durdurdu. BNB Chain üzerindeki projelerin etkilenmediği bildirildi; ancak Balancer kod tabanını kullanan tüm ekiplerin acil denetim (audit) yapmaları tavsiye edildi.

Balancer ekibi, TSİ 14:53 (UTC 09:23) itibarıyla henüz resmi bir açıklama yapmadı.Zincir üstü analistler, saldırganın cüzdanlarını aktif şekilde izlemeyi sürdürüyor. Fonların merkezi borsalara aktarılması durumunda, ilgili hesapların dondurulabileceği belirtiliyor.

Ekim ayında kripto hack vakalarında %85’lik bir düşüş görülmesine rağmen, bu olay geçmişteki büyük ölçekli saldırıları hatırlatıyor. Özellikle karmaşık likidite protokollerinde ciddi tehditlerin hâlâ var olduğunu bir kez daha gösteriyor.