Quando as Auditorias Não São Suficientes: O Hack do Balancer Exponha o Ponto Cego do DeFi

O mercado de criptomoedas acabou de receber um duro aviso. Na segunda-feira, atacantes drenaram mais de $120 milhões do Balancer—um DEX que existe desde os primeiros dias do DeFi—explorando uma vulnerabilidade de arredondamento de precisão em seu contrato Vault.

Aqui está o que torna isso alarmante: o Balancer passou por mais de 10 auditorias. O cofre foi revisto 3 vezes por diferentes empresas. No entanto, o atacante ainda encontrou uma forma de entrar.

A Exploração Técnica

De acordo com a análise da GoPlus Security, o hack funcionou através de uma falha aparentemente mundana: erros de arredondamento nos cálculos de swap. Cada operação arredondou para baixo, distorcendo gradualmente os preços dos tokens. A função batchSwap amplificou então esta vulnerabilidade, permitindo que o atacante encadeasse transações de forma estratégica. Clássico ataque de precisão — o tipo que as empresas de segurança às vezes perdem porque é demasiado simples para ser óbvio.

O Balancer esclareceu que apenas os V2 Composable Stable Pools foram afetados (, não o V3), e eles pausaram as pools afetadas. Mas o dano foi feito.

A Reação do Mercado

A onda de choque atingiu em cheio:

• A capitalização de mercado caiu 3,2% em criptomoedas principais (BTC, ETH, XRP, BNB, SOL liderando as perdas)
• $1.23 bilhões em liquidações cascataram através dos mercados de derivados ($1.1B liquidações longas + $128.4M liquidações curtas)

A Stakewise recuperou mais de $20M de fundos roubados através de wallets multisig, e a Lookonchain rastreou o atacante que convertia ETH continuamente—mas os danos à confiança espalham-se mais rapidamente do que os esforços de recuperação.

A Visão Geral

Ryan Sean Adams do Bankless acertou no sentimento: “Se aconteceu com o Balancer, pode acontecer com qualquer coisa.”

Alguns L1s responderam de forma agressiva—os validadores da Berachain pararam a rede, a Sonic preparou uma função de congelamento. Mas isso levantou uma preocupação diferente: se os validadores podem parar unilateralmente as transações, quão “descentralizada” é realmente a blockchain?

Este hack revela uma verdade desconfortável: as auditorias detectam erros óbvios, não casos extremos. Um pool estar ativo durante anos não significa que é seguro—apenas que ninguém o testou da maneira certa até agora.

A confiança da comunidade DeFi foi abalada. Mas também lembrou a todos: a segurança é um processo contínuo, não uma verificação única.