Balancer sofreu um ataque de hackers no valor de 116 milhões de dólares, o mito da segurança das Finanças Descentralizadas volta a desmoronar-se?

“Cada contrato com um tempo de ativação tão prolongado que é atacado faz a adoção de DeFi recuar de 6 a 12 meses.” O diretor estratégico da Flashbots, consultor estratégico da Lido, Hasu, fez esta afirmação após o ataque ao Balancer.

Em 3 de novembro, o antigo protocolo DeFi Balancer sofreu um ataque de hackers sem precedentes, com perdas que atingiram 116,6 milhões de dólares.

Este montante de ativos foi rapidamente roubado num curto espaço de tempo através de uma vulnerabilidade de callback de cadeia cruzada presente no contrato inteligente do pool Balancer V2. Até 4 de novembro, os hackers estavam a trocar os ativos roubados por ETH através do Cow Protocol.

01 Revisão do Evento: Montantes de fundos que desaparecem num instante

O ataque ao Balancer desencadeou uma reação no mundo cripto em 3 de novembro, inicialmente com um valor roubado de cerca de 70 milhões de dólares, que continuou a subir.

Até ao momento da redação, as perdas totalizavam já 116,6 milhões de dólares, tornando-se o incidente de segurança mais grave na história do Balancer.

Informações na cadeia indicam que os principais ativos roubados pelos atacantes incluem WETH, wstETH, osETH, frxETH, rsETH, rETH e outros tokens de staking de liquidez.

Estes ativos estão distribuídos em várias cadeias, incluindo ETH, Base, Sonic, sendo que na cadeia Éter as perdas foram mais severas, aproximando-se de 100 milhões de dólares.

02 Análise da Vulnerabilidade: Desastre causado por erro de nível básico

Especialistas em segurança rapidamente identificaram a origem da vulnerabilidade. Segundo análises das entidades de monitorização de segurança Defimon Alerts e Decurity, o problema residiu na verificação de controlo de acesso na função manageUserBalance do protocolo Balancer V2.

O sistema, ao verificar a permissão de levantamento do Balancer V2, deveria verificar se quem faz a chamada é o verdadeiro proprietário da conta, mas o código verificava incorretamente se o msg.sender (quem faz a chamada) era igual ao parâmetro op.sender fornecido pelo utilizador.

Como o op.sender é um parâmetro controlado pelo utilizador, o atacante podia falsificar a identidade à vontade, burlando a verificação de permissões.

Este erro básico de controlo de acesso, presente num protocolo maduro com 5 anos de funcionamento, deixou os especialistas em segurança incrédulos.

03 Revisão histórica: Seis anos e seis incidentes de segurança no Balancer

Se acha que o título “Balancer foi hackeado” lhe soa familiar, não está sozinho. Este é o sexto incidente de segurança na história do Balancer ao longo de 5 anos.

Revisitando o passado, o registo de segurança do Balancer tem sido pouco promissor:

• Junho de 2020: vulnerabilidade de token deflacionário, perdas de cerca de 520 mil dólares
• Março de 2023: perdas indiretas devido ao incidente Euler, cerca de 11,9 milhões de dólares
• Agosto de 2023: vulnerabilidade de precisão no pool V2, perdas de aproximadamente 2,1 milhões de dólares
• Setembro de 2023: ataque de DNS hijacking, perdas de cerca de 240 mil dólares
• Junho de 2024: o projeto bifurcado Velocore foi hackeado, perdas de aproximadamente 6,8 milhões de dólares

Repetidos incidentes de segurança ilustram a fragilidade da linha de defesa do Balancer e de todo o ecossistema DeFi.

04 Impacto no Mercado: Colapso de confiança e queda de preços

A reação do Mercado ao ataque foi rápida e intensa. Segundo dados do CoinMarketCap, o token BAL (Balancer) caiu 7,13% em 3 de novembro, cotado a 0,92 dólares.

A capitalização de mercado do BAL está atualmente em cerca de 62,2 milhões de dólares, uma redução de aproximadamente 4,775 milhões de dólares em relação ao dia anterior. Além disso, os dados da plataforma Gate indicam que o preço do BAL tem estado sob forte pressão recentemente.

A confiança na segurança do Balancer foi gravemente afetada, levando os investidores a ajustarem ativamente as suas estratégias de posição, com uma pressão de venda evidente.

Um episódio interessante é que, segundo a LookonChain, uma baleia cripto que esteve inativa durante 3 anos acordou logo após o incidente, e está a tentar retirar os seus ativos relacionados de 6,5 milhões de dólares do Balancer.

05 Reação em cadeia na indústria: autoajuda e suspensão de operações

Diante da crise repentina, vários projetos integrados com o Balancer tomaram medidas de autoajuda:

• A Lido já retirou as suas posições no Balancer que não foram afetadas
• A Berachain anunciou a suspensão da rede para realizar uma hard fork de emergência para corrigir a vulnerabilidade relacionada com o BEX e o Balancer V2
• O fundador da Berachain, Smokey The Bera, afirmou que a equipa da Ethena desativou a ponte Bera e suspendeu as operações nos mercados relacionados

Estas ações demonstram a importância do Balancer no ecossistema DeFi e também evidenciam o risco sistémico que uma vulnerabilidade numa única protocolo pode desencadear.

06 O futuro da segurança em DeFi: da dívida técnica à gestão de risco

Uma das inovações do Balancer — permitir a composição de pools híbridos com até 8 tokens de peso personalizado — também se tornou uma vulnerabilidade de segurança.

Em comparação com o design simplificado do Uniswap, a complexidade do Balancer cresce exponencialmente. Cada token adicional faz o espaço de estado do pool aumentar drasticamente, ampliando a superfície de ataque.

O Balancer optou por uma trajetória de desenvolvimento de rápida iteração. Desde o V1 até ao V2, passando por vários Boosted Pools, cada atualização acumulou novas funcionalidades sobre o código antigo.

Este “dívida técnica” acumulada transformou o repositório de código numa torre de blocos vulnerável.

Em 2025, o setor de DeFi enfrentará novos desafios de segurança. Ataques TEE.Fail demonstram que, mesmo com medidas de segurança a nível de hardware, é possível contorná-las com ferramentas de 1000 dólares.

E os vetores de ataque mudaram do erro de contrato inteligente para vulnerabilidades operacionais, com 80,5% das perdas atuais decorrentes de ameaças fora da cadeia, como phishing, air drops falsos e vazamento de chaves privadas.

Para enfrentar estes desafios, técnicas de provas de conhecimento zero e carteiras multi-assinatura estão a reduzir as perdas por vulnerabilidades em 90% desde 2020.

07 Guia para investidores: avançar com cautela em risco

Para os investidores, este incidente volta a soar o alarme. Navegar no mundo DeFi exige atenção:

• Retirar fundos dos pools afetados: retirar imediatamente fundos do pool Balancer V2 para evitar maiores perdas
• Revogar aprovações: usar Revoke, DeBank ou Etherscan para cancelar as permissões de contratos inteligentes do endereço Balancer
• Priorizar projetos auditados: valorizar protocolos que combinem auditoria de contratos inteligentes com monitorização em tempo real e circuit breakers
• Utilizar carteiras multi-assinatura: reduzir o risco de ponto único de falha, especialmente para posições de grande valor

Perspetivas futuras

Até às últimas notícias de 4 de novembro, o hacker do Balancer já tinha começado a trocar os tokens de staking de liquidez roubados por ETH através do Cow Protocol. Analistas na cadeia, como o余烬, monitorizam que o hacker continua a trocar ativos roubados de várias cadeias por ETH, USDC e outros ativos principais.

O Balancer já manifestou a intenção de pagar 20% dos ativos roubados como recompensa para white-hats, válido por 48 horas. Contudo, as hipóteses de recuperar esses ativos roubados parecem cada vez mais remotas.

Para os observadores, DeFi é uma experiência social inovadora; para os participantes, um ensinamento caro após um roubo; para toda a indústria, a saúde do DeFi é uma despesa necessária para alcançar a maturidade.