De Balancer a Berachain: Quando a Blockchain Prime o Botão de Pausa

O setor DeFi voltou a estar em evidência.

No dia 3 de novembro (UTC), vários projetos que utilizam a arquitetura Balancer V2 foram alvo de um ataque sofisticado, com perdas superiores a 120 milhões de dólares. A violação afetou a rede principal da Ethereum, Arbitrum, Sonic, Berachain e outras cadeias, tornando-se num dos incidentes de segurança mais marcantes do setor desde os ataques à Euler Finance e Curve Finance.

A análise preliminar da BlockSec classificou este caso como um “exploit de manipulação de preços de alta complexidade”. Os atacantes manipularam o cálculo do preço do BPT (Balancer Pool Token), explorando erros de arredondamento invariantes para provocar distorção de preços e realizar arbitragem repetida num só batch swap.

Por exemplo, o ataque à Arbitrum desenrolou-se em três fases:

• O atacante trocou inicialmente BPT pelo ativo subjacente, ajustando com precisão o saldo de cbETH até ao limiar de arredondamento (cerca de 9 unidades), preparando uma perda de precisão de cálculo para os passos seguintes;
• De seguida, efetuou uma troca específica (=8 unidades) entre wstETH e cbETH. O arredondamento descendente durante o scaling reduziu ligeiramente o Δx calculado, subestimando Δy e diminuindo o invariante D da pool estável, o que pressionou o preço teórico do BPT;
• Por fim, o atacante reverteu a troca, convertendo o ativo subjacente de volta para BPT e retirando lucros do preço artificialmente reduzido.

Em suma, tratou-se de um exploit de precisão, centrado na interseção entre matemática e código.

A Balancer confirmou a exploração das suas Composable Stable Pools V2. A equipa colabora com especialistas de segurança de topo numa investigação completa e compromete-se a publicar um post-mortem detalhado. Todas as pools afetadas, com funcionalidade de pausa, foram congeladas de imediato e ativaram procedimentos de recuperação. A vulnerabilidade limita-se às Composable Stable Pools V2 e não afeta a Balancer V3 nem outros tipos de pool.

Após o exploit na Balancer V2, projetos que bifurcaram a sua arquitetura sofreram perturbações significativas. Segundo a DeFiLlama, em 4 de novembro (UTC), o valor total bloqueado nos projetos relacionados caiu para cerca de 49,34 milhões de dólares — uma quebra de 22,88% num só dia. A BEX, DEX nativa da Berachain, viu o TVL cair 26,4% para 40,27 milhões de dólares, mantendo, ainda assim, 81,6% do ecossistema. No entanto, as interrupções na rede e a liquidez congelada continuaram a acelerar as saídas de capital. A Beets DEX foi ainda mais afetada, com o TVL a desmoronar 75,85% em 24 horas e quase 79% durante a última semana.

Outras DEXs baseadas na arquitetura da Balancer registaram também retiradas em pânico: PHUX recuou 26,8% num dia, Jellyverse caiu 15,5% e Gaming DEX desabou 89,3%, ficando a liquidez praticamente esgotada. Mesmo plataformas de média e pequena dimensão não diretamente afetadas — como KLEX Finance, Value Liquid e Sobal — registaram saídas entre 5% e 20%.

Reação em Cadeia: Berachain implementa Hard Fork de Emergência

A vulnerabilidade na Balancer V2 desencadeou rapidamente uma reação em cadeia.

A Berachain, uma nova blockchain pública desenvolvida com o Cosmos SDK, foi atacada em poucas horas, uma vez que a BEX utilizava contratos Balancer V2. Perante as anomalias, a fundação comunicou prontamente a interrupção total da rede.

Os atacantes comprometeram ativos na USDe Tripool da BEX e noutras pools de liquidez, com perdas próximas de 12 milhões de dólares. Utilizaram a mesma falha lógica que na Balancer, recorrendo a múltiplas interações com smart contracts para extrair fundos. Como alguns ativos afetados eram tokens não nativos, a equipa foi obrigada a executar um hard fork para reversão de blocos e recuperação, permitindo o rastreio e recuperação dos fundos.

Diversos protocolos do ecossistema Berachain — incluindo Ethena, Relay e HONEY — implementaram medidas defensivas:

• Proibição de transferências cross-chain de USDe;
• Suspensão de depósitos nos mercados de crédito;
• Interrupção da emissão e resgate de HONEY;
• Notificação às exchanges centralizadas para bloqueio de endereços suspeitos.

A Berachain Foundation referiu que a suspensão da rede foi planeada e que as operações serão retomadas em breve. O exploit da Balancer afetou sobretudo as pools Ethena/Honey por via de transações complexas de smart contracts. Como os ativos afetados não eram apenas nativos (não só BERA), a recuperação exigiu mais do que um simples hard fork, sendo a rede pausada até existir uma solução abrangente.

No dia 4 de novembro (UTC), a Berachain Foundation informou que já distribuiu os binários do hard fork e alguns validadores atualizaram os seus nós. Antes de relançar e produzir novos blocos, pretende assegurar que os principais parceiros de infraestrutura (como oráculos de liquidação) atualizem os endpoints RPC. Estes são os principais entraves à retomada da atividade on-chain. Assim que os serviços RPC centrais estejam ativos, a equipa irá coordenar com bridges cross-chain, parceiros CEX e custodians para retomar as operações.

Entretanto, um operador de bot MEV na Berachain entrou em contacto com a fundação após a paragem da cadeia, alegando ter recuperado fundos em modo “white-hat” e enviou uma mensagem on-chain, oferecendo-se para pré-assinar transações que devolvam os fundos assim que a cadeia volte a operar.

Segurança versus Descentralização?

“Sabemos que isto é controverso, mas quando cerca de 12 milhões de dólares em ativos de utilizadores estão em risco, proteger os utilizadores é a única opção”, afirmou Smokey The Bera, cofundador da Berachain, respondendo às preocupações de centralização.

Reconheceu que a Berachain não atingiu o grau de descentralização da Ethereum e que a coordenação dos validadores funciona mais como um “centro de operações de crise” do que como uma rede de consenso automatizada. Na prática, os nós on-chain foram suspensos em menos de uma hora após o exploit, ilustrando eficácia centralizada, mas também expondo a concentração na governação.

A comunidade ficou profundamente dividida.

Os apoiantes defenderam que a equipa demonstrou compromisso com a proteção dos utilizadores — uma “descentralização pragmática”. Os críticos argumentaram que a medida viola o princípio “Code is Law” e põe em causa a irreversibilidade on-chain.

O investigador on-chain ZachXBT comentou: “Quando os fundos dos utilizadores estão em perigo iminente, é uma decisão difícil, mas correta.”

Mas alguns developers foram diretos: “Se uma blockchain pode ser pausada manualmente a qualquer momento, em que é diferente das finanças tradicionais?”

A sombra do DAO Hack regressa

Esta crise fez muitos veteranos recordar o hack ao DAO da Ethereum em 2016, quando a rede reverteu transações via hard fork para recuperar 50 milhões de dólares roubados — dividindo a comunidade entre Ethereum (ETH) e Ethereum Classic (ETC).

Nove anos depois, surge um dilema semelhante.

Desta vez, a figura central é uma nova blockchain pública, sem grande descentralização ou consenso global.

A intervenção da Berachain pode ter limitado as perdas, mas reacende o debate sobre a verdadeira autonomia das blockchains.

De certa forma, este episódio espelha o DeFi: Segurança, eficiência e descentralização — nunca se alcançou um equilíbrio perfeito.

Quando hackers conseguem roubar dezenas de milhões em segundos, o idealismo cede frequentemente à realidade.

A equipa da Balancer trabalha com investigadores de segurança de topo, planeia publicar um post-mortem e alerta os utilizadores para mensagens fraudulentas de impostores.

Espera-se que a Berachain retome gradualmente a produção de blocos e a funcionalidade de transações após o hard fork.

Contudo, recuperar a confiança dos utilizadores é muito mais difícil do que corrigir código. Para qualquer nova blockchain pública, uma paragem pode ser uma solução de curto prazo, mas implica consequências futuras — os utilizadores podem duvidar da descentralização da cadeia e os developers ter reservas sobre a sua imutabilidade.

O DeFi pode estar a redefinir a descentralização — não como liberalismo absoluto, mas como o consenso mínimo possível em tempos de crise.

Declaração:

1. Este artigo foi republicado de [Foresight News] e os direitos de autor pertencem ao autor original [ChandlerZ, Foresight News]. Para qualquer questão relativa a esta republicação, contacte a equipa Gate Learn para resolução rápida com base nos procedimentos relevantes.
2. Aviso Legal: As opiniões expressas neste artigo são da exclusiva responsabilidade do autor e não constituem aconselhamento de investimento.
3. Outras versões linguísticas são traduzidas pela equipa Gate Learn. Salvo citação explícita de Gate, é proibido copiar, distribuir ou plagiar artigos traduzidos.