DeFi sofre novo colapso! Balancer é hackeado em mais de 116 milhões de dólares, e as perdas continuam aumentando!

Por volta das 15h48 do dia 3 de novembro (horário GMT+8), a plataforma de monitoramento on-chain detectou de repente que o endereço do cofre do Balancer, um protocolo DeFi veterano, realizou uma transferência anormal de grande valor.

De acordo com o Etherscan, ativos multichain, incluindo 6.587 WETH (cerca de 24,5 milhões de dólares), 6.851 osETH (cerca de 26,9 milhões de dólares) e 4.260 wstETH (cerca de 19,3 milhões de dólares), foram transferidos para uma carteira externa.

Vários analistas on-chain acreditam que isto deve ser uma potencial exploração de vulnerabilidade ou um saque não autorizado, e não uma migração rotineira de liquidez. Diversos provedores de análise blockchain, incluindo a Nansen, já marcaram essas transações como suspeitas.

De acordo com o monitoramento da empresa de segurança blockchain PeckShield, o ataque continua em andamento em várias redes, incluindo Ethereum.

Até por volta das 16h48 (GMT+8), o endereço do atacante (0x54B5…30d) realizou mais uma transação ao chamar a função 0x8a4f75d6, e a Lookonchain confirmou que a perda total já ultrapassa 116 milhões de dólares.

Mikko Ohtamaa, cofundador da Trading Strategy, apontou que a análise preliminar indica que a origem da vulnerabilidade está em uma falha no mecanismo de verificação do contrato inteligente. Embora nem todas as versões do Balancer tenham sido afetadas, se forks antigos do V2 tiverem a mesma vulnerabilidade, a perda total pode aumentar ainda mais.

A segurança DeFi continua sendo um desafio

Esta não é a primeira vez que o Balancer enfrenta problemas de segurança.

• Já em 2020, o protocolo sofreu uma perda de cerca de 500 mil dólares devido ao fato de não considerar o comportamento especial de tokens com “taxa de transferência”, permitindo que atacantes manipulassem ativos do pool via flash loan.

• Em agosto de 2023, foi descoberta uma vulnerabilidade no Boosted Pool do Balancer V2. Apesar do alerta oficial, ainda ocorreu um ataque, resultando em uma perda de cerca de 1 milhão de dólares.

• No mesmo ano, em setembro, o domínio frontend do Balancer foi alvo de um ataque de sequestro de DNS, e os usuários perderam quase 240 mil dólares após assinarem transações em um site de phishing.

Agora, esta nova onda de ataques volta a colocar a questão da segurança DeFi em destaque. Desde o design do contrato até a implementação do frontend, da lógica dos pools de liquidez à gestão de ativos cross-chain, os desafios de segurança enfrentados pelo Balancer parecem nunca ter sido realmente resolvidos.

Além disso, o Balancer é um protocolo central de liquidez, então quando ele é afetado, não é só ele que sofre. Os LPs afetados, agregadores que dependem dele, pools de ativos, vaults de estratégia... todos são impactados.

No mundo DeFi, o princípio é “trustless”, mas diante de sucessivas explorações de vulnerabilidades, em que os usuários realmente podem confiar? Após cinco anos de desenvolvimento, o DeFi já não é mais um jogo de nicho para geeks, mas sim uma infraestrutura financeira que administra bilhões de dólares. Infelizmente, mesmo protocolos de ponta como o Balancer ainda não conseguem escapar do destino de velhos problemas não resolvidos e novos danos surgindo.

Resposta do Balancer duas horas depois

Às 17h50 (GMT+8), ou seja, duas horas após o incidente, o Balancer atualizou seu perfil oficial no Twitter: foi descoberta uma vulnerabilidade que pode afetar os pools do Balancer v2. Nossas equipes de engenharia e segurança estão priorizando a investigação e, assim que tivermos mais informações, compartilharemos imediatamente as atualizações confirmadas e os próximos passos.

A Bitpush está acompanhando de perto o desenrolar do caso e trará as atualizações mais recentes assim que possível. Fique atento.