Balancer sofre roubo de mais de 120 milhões, o que você deve fazer?

Chainfeeds Guia de Leitura:

Atualmente, o valor total roubado é de 128.64 milhões de dólares, e o ataque continua em andamento.

Fonte do artigo:

Foresight News

Opinião:

Foresight News: Na tarde de 3 de novembro, o veterano protocolo DeFi Balancer sofreu um grave ataque devido a uma vulnerabilidade de segurança. O atacante manipulou o contrato inteligente central do protocolo e, em poucas horas, transferiu mais de 110 milhões de dólares em ativos cripto de vários pools de liquidez, movendo diretamente os fundos do cofre do Balancer para uma carteira sob seu controle. Segundo dados da DeBank, o ecossistema Ethereum sofreu perdas de até 99.85 milhões de dólares, a rede Arbitrum perdeu 7.95 milhões de dólares, na Base foram roubados 3.94 milhões de dólares, na Sonic cerca de 3.4 milhões de dólares e na Optimism 1.56 milhões de dólares. O rastreamento da SlowMist mostrou que o valor total roubado subiu ainda mais para 128.64 milhões de dólares, incluindo 12.86 milhões de dólares do ecossistema Berachain. Como resultado, o preço do token BAL caiu para cerca de 0.9 dólares, com uma queda superior a 8% em 24 horas. Após o incidente, a equipe oficial da Berachain suspendeu a cunhagem de HONEY e as funções do pool BEX e do cofre, além de coordenar os validadores para interromper a rede, permitindo que a equipe principal executasse um hard fork de emergência para corrigir a vulnerabilidade relacionada ao Balancer V2. Assim que a notícia foi divulgada, o endereço de baleia 0x0090, inativo há três anos, retirou imediatamente fundos do Balancer, demonstrando a rápida propagação do pânico. Este incidente não apenas revelou uma falha fundamental no controle de acesso do Balancer V2, mas também mostrou como a arquitetura de implantação cross-chain pode amplificar riscos, envolvendo múltiplas redes como Ethereum, Base, Polygon e Sonic. Até o momento da publicação, o ataque continua, e as equipes de segurança estão tentando congelar os endereços envolvidos. O Balancer foi fundado em 2020 pela Balancer Labs e é um dos principais protocolos AMM (Automated Market Maker) do início do ecossistema DeFi, destacando-se pelo design de pools de liquidez multiativos personalizáveis. Diferente de mecanismos de comparação de ativos únicos como o Uniswap, o Balancer permite que os usuários definam várias combinações de pesos de ativos, aumentando a eficiência do capital. Em 2021, lançou a versão V2, introduzindo os Boosted Pools e o sistema Vault, com o objetivo de direcionar fundos ociosos dos pools para canais de rendimento, reduzindo o slippage e aumentando a eficiência. No entanto, essa arquitetura complexa também aumentou os riscos de controle de acesso e dependências externas. Análises apontam que a causa raiz deste ataque foi a falha no controle de acesso do contrato do cofre. O atacante utilizou um mecanismo de flash loan para forjar permissões e extrair ativos dos Boosted Pools, contornando as verificações de autorização e transferindo os fundos diretamente para o endereço externo 0xAa760D53541d8390074c61DEFeaba314675b8e3f. Dados on-chain (hash da transação 0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569) mostram que o ataque envolveu múltiplas transferências em poucos minutos, incluindo WETH, osETH, wstETH, frxETH, rsETH, rETH e outros derivados ETH populares. Este tipo de exploração é semelhante ao incidente da Nomad Bridge em 2022, ambos resultantes do bypass da lógica de controle de acesso. A arquitetura cross-chain do Balancer ampliou o alcance do impacto e o tamanho das perdas. Este incidente não é isolado, mas sim uma explosão concentrada de riscos de segurança de longa data do Balancer. Desde o lançamento do V2 em 2021, o protocolo passou por várias auditorias, testes de fuzzing e validações formais, mas continuou a expor vulnerabilidades com frequência. Em junho de 2021, perdeu 500 mil dólares devido a problemas em contratos inteligentes; em agosto de 2023, sofreu um ataque de DNS hijacking com perdas de 270 mil dólares; e em outubro de 2025, ocorreu um pequeno incidente relacionado à manipulação de “rate providers”. Esses múltiplos incidentes mostram a fragilidade estrutural do Balancer em controle de acesso e dependências externas. Este ataque reacende o debate sobre o risco de envelhecimento dos protocolos DeFi — códigos em operação há anos e frequentemente bifurcados tornam-se alvos mais fáceis em ambientes multi-chain complexos. Hasu, diretor de estratégia da Flashbots e conselheiro da Lido, comentou: “Desde o lançamento do Balancer V2 em 2021, ele é um dos contratos inteligentes mais frequentemente forkados. Sempre que um protocolo central como este é comprometido, todo o setor DeFi retrocede de 6 a 12 meses em adoção.” Atualmente, a equipe do Balancer confirmou a existência da vulnerabilidade nos pools V2 e está investigando o incidente em conjunto com empresas de segurança.