Wie ein Entwicklerkommentar zu einer 128-Millionen-Dollar-Katastrophe reifte: Der Balancer-Rundungs-Exploit
Tief im Smart Contract-Code von Balancer, direkt über der Funktion, die letztendlich einen Verlust von 128 Millionen $ verursachen sollte, befand sich ein Entwickler-Kommentar: „Die Auswirkungen dieser Rundung werden voraussichtlich minimal sein.“ Sie irrten sich – und zwar um einen neunstelligen Betrag.
Am 3. November 2025 nutzte ein Angreifer einen mikroskopischen Rundungsfehler in den Composable Stable Pools von Balancer V2 aus und entzog Gelder über neun Blockchain-Netzwerke in weniger als 30 Minuten. Es war kein spektakulärer Reentrancy-Angriff oder ein kompromittierter privater Schlüssel. Es war Arithmetik – die Art von Fehler, die sich direkt vor aller Augen versteckt, mehrere Audits besteht und geduldig darauf wartet, dass jemand clever genug ist, sie als Waffe einzusetzen.
Die Anatomie eines Rundungs-Exploits
Die anfällige Funktion
Die batchSwap-Funktion von Balancer V2 ermöglicht es Nutzern, mehrere Token-Swaps in einer einzigen Transaktion auszuführen. Im Hintergrund normalisiert eine interne Funktion namens _upscaleArray die Token-Guthaben auf eine gemeinsame Präzision, bevor Berechnungen durchgeführt werden. Diese Funktion verwendet Skalierungsfaktoren – Multiplikatoren, die die Dezimalstellen jedes Tokens und den internen Kurs berücksichtigen.
Das Problem? Wenn Skalierungsfaktoren keine ganzzahligen Werte sind (was immer dann passiert, wenn Token-Raten einbezogen werden), rundet die Ganzzahlarithmetik von Solidity ab. In den meisten Szenarien beläuft sich der Präzisionsverlust auf wenige Wei – Bruchteile eines Cents. Doch Composable Stable Pools, die eng korrelierte Assets wie liquide Staking-Derivate halten, verstärken selbst winzige Rundungsfehler durch ihre StableSwap-Invariante-Berechnung.
Der dreistufige Angriff
Die Strategie des Angreifers war von eleganter Einfachheit:
-
An die Grenze treiben. Große Mengen an BPT (Balancer Pool Tokens) gegen zugrunde liegende Token tauschen, wodurch das interne Guthaben eines Tokens in den kritischen Bereich von 8–9 Wei getrieben wird – genau die Schwelle, an der die Ganzzahldivision von Solidity den maximalen Präzisionsverlust erzeugt.
-
Den Fehler potenzieren. Schnelle Mikro-Swaps unter Einbeziehung des an der Grenze positionierten Tokens ausführen. Jeder Swap löst
_upscaleArrayaus, was bei EXACT_OUT-Operationen abrundet. Die Rundung führt dazu, dass die Pool-InvarianteDsystematisch unterschätzt wird, was den BPT-Preis künstlich drückt. -
Die Differenz extrahieren. BPT zum gedrückten Preis prägen oder kaufen und dann sofort zum vollen Wert gegen zugrunde liegende Vermögenswerte einlösen. Den Vorgang wiederholen.
Der Angreifer setzte Smart Contracts ein, deren Konstruktoren mehr als 65 Mikro-Swaps ausführten und so den Präzisionsverlust zu einer katastrophalen Manipulation der Invariante potenzierten. Jeder einzelne Rundungsfehler war vernachlässigbar. Zusammen bluteten sie die Pools leer.
128 Millionen $ über neun Chains in 30 Minuten
Der Exploit traf gleichzeitig Ethereum, Base, Arbitrum, Avalanche, Optimism, Gnosis, Polygon, Berachain und Sonic. Ethereum verzeichnete mit etwa 99 Millionen verloren.
Das automatisierte Überwachungssystem von Hypernative erkannte den Angriff innerhalb von Minuten, doch zu diesem Zeitpunkt kaskadierte der Schaden bereits über die Netzwerke. Die Multi-Chain-Natur des Exploits – identischer anfälliger Code, der in jedem Netzwerk bereitgestellt wurde – verwandelte das, was ein Vorfall auf einer einzelnen Chain hätte sein können, in eine DeFi-weite Krise.
Notfallreaktionen auf Chain-Ebene
Die Reaktionen variierten je nach Netzwerk drastisch und offenbarten das Spektrum der Dezentralisierungs-Philosophien:
-
Berachain hielt sein gesamtes Netzwerk an und führte eine Notfall-Hard-Fork durch, um den Exploit rückgängig zu machen und 12,8 Millionen $ an Nutzereinlagen wiederherzustellen. Die Entscheidung war umstritten – die Chain war erst wenige Monate alt und musste zwischen Nutzerschutz und Unveränderlichkeit wählen.
-
Gnosis Chain wählte zunächst einen vorsichtigeren Ansatz und schränkte die Bridge-Aktivitäten ein, um den grenzüberschreitenden Geldfluss zu verhindern. Monerium fror 1,3 Millionen EURe im betroffenen Vault ein. Am 22. Dezember führte Gnosis dann eine Hard Fork durch, um 9,4 Millionen $ wiederherzustellen – dabei wurde der Chain-Status umgeschrieben, um Gelder zwangsweise von der Wallet des Angreifers auf eine von der DAO kontrollierte Recovery-Adresse zu verschieben.
-
StakeWise DAO nutzte das Safe Harbor-Framework von Balancer (BIP-726, etabliert im Jahr 2024), um Whitehat-Wiederherstellungsoperationen rechtlich zu autorisieren, wodurch etwa 19 Millionen in osGNO zurückgewonnen wurden.
Insgesamt wurden etwa 43 Millionen $ zurückgewonnen oder eingefroren – etwa ein Drittel der Gesamtverluste.
Das Audit-Paradoxon
Der vielleicht beunruhigendste Aspekt des Balancer-Exploits ist, dass er mehrere professionelle Sicherheitsüberprüfungen bestanden hat.
Trail of Bits prüfte den Code von Balancer V2 und identifizierte tatsächlich Bedenken im Zusammenhang mit Rundungen. In ihrem Bericht von 2021 zu Linear Pools wiesen sie auf das Rundungsverhalten hin, konnten aber nicht definitiv feststellen, ob es ausnutzbar war. Sie empfahlen umfassende Fuzz-Tests, um zu verifizieren, dass die „Rundungsrichtungen aller arithmetischen Operationen den Erwartungen entsprachen“.
Als Trail of Bits später im September 2022 die Composable Stable Pools überprüfte, war die Stable Math-Bibliothek – genau der Code, der die Schwachstelle enthielt – explizit außerhalb des Prüfungsumfangs.
Die Bedrohungslandschaft der Branche hatte sich verschoben. Im Jahr 2021 wurden Rundungs- und Arithmetikprobleme nicht als signifikante Risikokategorie angesehen. Bis 2025 waren Rundungsfehler zur zweithäufigsten ausgenutzten Schwachstelle im DeFi-Bereich geworden, nur noch übertroffen von gestohlenen privaten Schlüsseln. Die Audit-Standards hatten nicht Schritt gehalten.
Certora, das die formale Verifizierung für Balancer V3 durchführte, räumte später ein, dass ihre Verifizierungseigenschaften für V2 „die Beziehung zwischen einzelnen Swaps oder das Rundungsverhalten nicht einschränkten“. Die Eigenschaften garantierten zwar die Solvenz auf hoher Ebene, übersahen jedoch Szenarien, in denen iterative Operationen durch Rundungsverzerrungen systematisch Wert anhäufen konnten.
Ein Muster, keine Anomalie
Der Balancer-Exploit entstand nicht in einem Vakuum. Rundungspräzisionsangriffe haben in der DeFi-Geschichte eine wachsende Tradition:
-
Hundred Finance (2023): Angreifer manipulierten den Wechselkurs im hWBTC-Vertrag durch das Spenden von WBTC und nutzten dabei einen Rundungsfehler in der Funktion
redeemUnderlyingaus, um unverhältnismäßig hohe Beträge abzuheben. -
Raft Finance (2023): Ein Flash-Loan-Angriff nutzte Präzisionsverluste im Stablecoin-Protokoll aus und entzog 3,6 Millionen $.
-
Compound V2 Forks (laufend): Leere oder nahezu leere Lending-Pools bleiben anfällig, da niedrige
totalSupply-Werte es Angreifern ermöglichen, Wechselkurse durch Spendenangriffe aufzublähen, indem sie die Ganzzahl-Divisionsrundung ausnutzen. -
Balancers eigener Vorfall im Jahr 2023: Ein kleinerer Rundungs-Exploit in Höhe von 2,1 Millionen $ zielte auf ähnliche arithmetische Annahmen ab – ein Warnschuss, der den katastrophalen Bruch im November 2025 vorausahnte.
Die Ursache ist immer dieselbe: Solidity hat keine native Gleitkommaunterstützung. Jede Divisionsoperation schneidet Nachkommastellen ab, jede Multiplikation kann überlaufen und jeder Normalisierungsschritt führt potenzielle Fehler ein. Wenn sich diese Fehler über iterative Operationen hinweg summieren – insbesondere bei AMM-Invarianten-Berechnungen –, können die Ergebnisse verheerend sein.
Warum Audits Rundungsfehler weiterhin übersehen
Traditionelle Smart-Contract-Audits konzentrieren sich auf Logikfehler, Zugriffskontrolle, Reentrancy und Oracle-Manipulation. Rundungsfehler erfordern einen grundlegend anderen Ansatz:
Sie sind mathematisch subtil. Eine einzelne Rundungsoperation, die 1 Wei verliert, ist kein Bug. Die Schwachstelle entsteht erst, wenn ein Angreifer diese Operation tausende Male in einer einzigen Transaktion wiederholen kann, wodurch sich vernachlässigbare Fehler zu einer materiellen Wertextraktion summieren.
Sie sind kontextabhängig. Dasselbe Rundungsverhalten kann in einer Pool-Konfiguration harmlos und in einer anderen ausnutzbar sein. Trail of Bits konnte das Problem der Linear Pools nicht bestätigen, da die spezifischen Bedingungen für eine Ausnutzung in diesem Pool-Typ nicht vorhanden waren.
Sie entziehen sich der statischen Analyse. Automatisierte Tools prüfen auf bekannte Schwachstellenmuster. Die Ausnutzung von Rundungen erfordert ein Verständnis der mathematischen Beziehung zwischen iterativen Operationen und Pool-Invarianten – etwas, das tiefgreifende Domain-Expertise und eigenschaftsbasiertes Testen (Property-Based Testing) erfordert.
Formale Verifizierung hilft – aber nur mit den richtigen Eigenschaften. Die V3-Verifizierung von Certora enthielt eine kritische Eigenschaft, die V2 fehlte: swappingBackAndForth, die verifiziert, dass der Tausch von Token von A nach B und zurück nicht zu einem Nettogewinn führt. Diese einzige Regel hätte den Balancer V2-Exploit abgefangen. Die Lektion: Eine Verifizierung ist nur so stark wie die Eigenschaften, die sie prüft.
Was sich nach dem Exploit geändert hat
Die Sicherheitsüberarbeitung von Balancer V3
Balancer V3, das vom Exploit nicht betroffen war, wurde in Zusammenarbeit mit Certora einer umfassenden Neubewertung unterzogen. Die V3-Architektur eliminiert die spezifische Rundungsschwachstelle durch:
- Neu gestaltete Skalierungslogik, die nicht-ganzzahlige Faktoren ohne Präzisionsverlust verarbeitet
- Formale Verifizierung mit Eigenschaften, die speziell auf Roundtrip-Swap-Invarianten abzielen
- Explizite Durchsetzung der Rundungsrichtung bei allen arithmetischen Operationen
Branchenweite Auswirkungen
Der Exploit beschleunigte mehrere Trends in der DeFi-Sicherheit:
-
Laufzeit-Durchsetzung (Runtime Enforcement) gewann als Ergänzung zu Audits an Bedeutung. a16z crypto veröffentlichte Forschungsergebnisse zur Verwendung von Laufzeitprüfungen, um numerische Anomalien während der Transaktionsausführung zu erkennen – um Exploits in Echtzeit abzufangen, anstatt sich ausschließlich auf Analysen vor dem Deployment zu verlassen.
-
Rundungsbewusstes Testen wurde zu einer Standardanforderung für Audits. Führende Unternehmen integrieren heute eigenschaftsbasiertes Fuzzing, das gezielt auf die Akkumulation iterativer Rundungen ausgerichtet ist.
-
Safe-Harbor-Frameworks wie das BIP-726 von Balancer bewiesen ihren Wert, indem sie Whitehat-Respondern rechtliche Absicherung boten, um Gelder schnell zurückzugewinnen, ohne eine Strafverfolgung befürchten zu müssen.
Die tiefergehende Lektion
Der Balancer-Exploit deckte eine unangenehme Wahrheit über die DeFi-Sicherheit auf: Die gefährlichsten Bugs sind nicht die dramatischen. Reentrancy-Angriffe sind gut verstanden. Für Flash-Loan-Manipulationen gibt es etablierte Abwehrmechanismen. Aber ein Entwickler, der schreibt // die Auswirkungen dieser Rundung werden voraussichtlich minimal sein und weitermacht – das ist die Schwachstelle, die jede Verteidigungsebene durchschlüpft.
Da DeFi-Protokolle über 100 Milliarden -Exploit, wenn ein Angreifer 65 Operationen in einem einzigen Constructor-Aufruf ausführen kann.
Der Balancer-Vorfall ist eine Fallstudie für die Lücke zwischen dem, was wir für vernachlässigbar halten, und dem, was ein Gegner zu einer Katastrophe summieren kann. Im DeFi-Bereich gibt es keinen harmlosen Rundungsfehler.
BlockEden.xyz entwickelt Blockchain-API-Infrastruktur auf Enterprise-Niveau mit einer Security-First-Architektur. Während DeFi-Protokolle aus Vorfällen wie dem Balancer-Exploit lernen, wird eine robuste Node-Infrastruktur zur Grundlage für sicherere On-Chain-Interaktionen. Entdecken Sie unseren API-Marktplatz, um auf einer auf Zuverlässigkeit ausgelegten Infrastruktur aufzubauen.