1,28 bilhões de dólares foram roubados, 27 protocolos de forquilha "levam a culpa", o incidente do Balancer traz três grandes lições para as Finanças Descentralizadas.

Escrito por: Frank, PANews

No dia 3 de novembro, o céu do mundo DeFi foi rasgado por uma fenda. O endereço do cofre do antigo protocolo DeFi Balancer apresentou uma transferência anormal de grandes quantias de dinheiro. Nas horas seguintes, toda a indústria testemunhou a execução em tempo real de um desastre, com os fundos danificados subindo de 70 milhões de dólares, inicialmente relatados, para impressionantes 116,64 milhões de dólares, estabilizando-se, por fim, em 128,64 milhões de dólares.

Por trás do enorme montante de danos, está o protocolo Balancer V2 que possui até 27 “protocolos forks”, que também enfrentam o risco sistêmico trazido por esta vulnerabilidade letal que está há muito tempo em espera.

Balancer V2 foi atacado por hackers, com 128 milhões de dólares em fundos roubados.

No dia 3 de novembro, a empresa de segurança on-chain, Shield, notou transferências anormais no cofre do Balancer V2. Uma grande quantidade de Ethereum encapsulado (WETH) e derivados de staking líquido (wstETH, osETH) foi transferida para uma nova carteira.

Em seguida, a equipe do Balancer confirmou rapidamente que realmente ocorreu um ataque na cadeia, e, à medida que o monitoramento on-chain continuava, o valor total estimado de danos chegou a 128 milhões de dólares. A equipe do Balancer afirmou que o alcance do ataque foi rigorosamente limitado aos Pools Estáveis Componíveis (Composable Stable Pools) da V2. Sua nova arquitetura V3 e outros tipos de pools da V2 (como pools de peso) não foram afetados.

Até 4 de novembro, a equipa do Balancer ainda não publicou a causa específica do ataque. No entanto, de acordo com a análise de um analista on-chain da Nansen, a origem deste ataque reside em um “teste de controle de acesso defeituoso” (faulty access-control check).

O atacante enviou um comando maliciosamente construído para o cofre, chamando a função manageUserBalance do protocolo V2. Este comando enganou o livro interno do protocolo, fazendo-o acreditar que “o protocolo acabou de cobrar uma grande taxa” e que “a propriedade dessa taxa pertence ao atacante”. Em seguida, o atacante fez um pedido de retirada normal, transferindo enormes ativos para suas próprias contas.

Do ponto de vista técnico, a conclusão deste ataque não depende da força das capacidades técnicas, mas sim da forma astuta como os atacantes exploraram as vulnerabilidades lógicas no protocolo. Alguns analistas acreditam que os hackers deixaram registros do console durante o ataque; com base nos hábitos das evidências, é muito provável que esse hacker tenha utilizado um grande modelo de IA para escrever e revisar o código, descobrindo assim falhas que os auditores humanos deixaram passar.

27 protocolos de fork “levam a culpa”, várias cadeias ativam medidas de emergência

Em comparação com as sofisticadas táticas de ataque dos hackers, o que realmente decepcionou a indústria foi que o Balancer V2 havia passado por um total de 11 auditorias de quatro empresas de segurança diferentes: OpenZeppelin, Trail of Bits, Certora e ABDK, mas ainda assim não conseguiu detectar esta vulnerabilidade.

O mais irônico é que o “Composable Stable Pool” ( ), que foi explorado desta vez, passou por uma auditoria especial da Certora e Trail of Bits em setembro de 2022.

Como um protocolo DeFi que está no mercado há muitos anos e parece ter sido testado pelo mercado, o protocolo Balancer V2 desenvolveu-se como um modelo com até 27 “protocolos fork”, todos herdando essa vulnerabilidade lógica do Balancer V2. Para os hackers, essa vulnerabilidade é como ter uma chave mestra que pode abrir a qualquer momento os cofres desses “protocolos fork” que também possuem códigos defeituosos.

Na verdade, este ataque hacker já se espalhou por várias blockchains. Entre eles, o protocolo principal do Balancer V2 da rede principal Ethereum ( foi o mais severamente afetado, com perdas estimadas em 100 milhões de dólares. Em segundo lugar está o protocolo BEX da Berachain, com perdas que podem chegar a 12,86 milhões de dólares. Além disso, há protocolos de sete blockchains públicas, incluindo Arbitrum, Base e Sonic, que também foram afetados por este ataque.

Diante dessa calamidade inesperada, a indústria enfrenta uma escolha difícil: devemos realmente manter o fundamentalismo da descentralização do “código é lei” e ver os fundos dos usuários sendo roubados? Ou devemos adotar medidas de intervenção centralizada para proteger os usuários?

A Berachain, que foi a mais afetada pela catástrofe, tomou a decisão mais radical e controversa: coordenar os nós de validação e suspender a operação de toda a rede. Através da reversão de transações, a Berachain salvou mais de 12 milhões de dólares em ativos que estavam em risco na exchange BEX.

Claro, isso também gerou controvérsias na comunidade, com alguns questionando: “Isso não prejudicará completamente a finalização e a segurança da sua 'chain'? Agora parece mais uma blockchain privada do que uma pública, certo?” Em resposta, Smokey the Bera, cofundador anônimo da Berachain, disse: “Acho que suas preocupações são válidas, mas acredito que situações excepcionais exigem medidas excepcionais – já vimos abordagens semelhantes em casos como Sui e Hyperliquid no passado.”

A maioria dos membros da comunidade ainda apoia esta decisão, afinal, o impacto negativo causado por um fundo com grandes perdas pode ser muito maior do que a chamada crença em “descentralização”.

A cadeia Sonic ativou um “mecanismo de congelamento de contas em cadeia”, bloqueando a carteira do atacante e os 3,4 milhões de dólares em fundos sem interromper a rede. Os nós de validação da Polygon começaram a “rever” as transações provenientes do endereço do atacante.

Houve várias ocorrências de falhas, o TVL foi cortado pela metade, gerando uma crise de confiança.

A história do desenvolvimento do Balancer é, na verdade, também uma história de uma complexa luta contra falhas lógicas. Anteriormente, o Balancer enfrentou vários ataques de hackers, tendo ocorrido pelo menos cinco incidentes de falhas de 2020 a 2025. Essas técnicas de ataque variaram desde os primeiros ataques de empréstimos relâmpago até falhas mais complexas em pools aprimorados V2.

No entanto, em casos anteriores, o valor perdido esteve basicamente entre dezenas de milhares de dólares e 2 milhões de dólares. Para o Balancer, esses eventos de ataque anteriores foram mais como oportunidades para corrigir falhas. E este incidente, com perdas estimadas em mais de um milhão, destruiu diretamente a confiança e a credibilidade do mercado em relação ao Balancer.

De acordo com os dados da Defillama, após o ataque, o TVL do Balancer caiu diretamente de 776 milhões de dólares para 345 milhões de dólares, uma queda de mais de metade. Em particular, o TVL do Balancer V2 diminuiu diretamente em 230 milhões de dólares, e os protocolos fork do Balancer V2 também retiraram fundos da pool, sendo que o TVL do Gaming DEX caiu 87% em um dia, enquanto o Beets DEX caiu 48%.

A Lido também afirmou que, embora o protocolo Lido não tenha sido afetado, por precaução, retirou suas posições no Balancer que não foram afetadas.

Na verdade, protocolos bifurcados como o Gaming DEX afirmaram posteriormente que não foram afetados na prática, apenas retiraram a maior parte dos fundos por motivos de segurança.

Para os protocolos DeFi, a confiança é mais importante do que o ouro, especialmente em um contexto histórico de ataques recorrentes. Até 4 de novembro, de acordo com informações oficiais, a StakeWise DAO já recuperou mais de 20 milhões de dólares em perdas por meio de chamadas de contrato de um protocolo multiassinatura, recuperando assim o montante perdido para 98 milhões de dólares. Ao mesmo tempo, a transferência de ativos do hacker ainda está em andamento, com mais da metade já convertida em ETH.

O ataque de 128 milhões de dólares tornou-se uma lição cara no processo de crescimento do DeFi, levantando três questões agudas.

1. Quando as 11 auditorias do “padrão ouro” não conseguem detectar uma vulnerabilidade fatal que esteve latente durante dois anos, qual é o significado da “auditoria”?

2. Quando a “doença contagiosa do código” se torna a norma, uma falha em um protocolo básico pode destruir instantaneamente 27 protocolos derivados, a combinabilidade do DeFi é inovação ou uma maldição?

3. Quando uma nova blockchain é forçada a escolher entre “descentralização” e “salvar os usuários”, será que o ideal de “código é lei” já deu lugar ao “centralização pragmática”?

No futuro, a segurança da DeFi pode não depender apenas de mais auditorias, mas sim de um design de protocolo mais simples, robusto e que reduza fundamentalmente a superfície de ataque. E para aqueles usuários que perderam confiança e capital neste evento, o custo dessa percepção é imensamente alto.