"Cada vez que um contrato de longa duração como este é alvo de um ataque, a adoção da DeFi recua entre seis a doze meses." Esta foi a perspetiva partilhada por Hasu, Strategy Lead na Flashbots e Strategic Advisor da Lido, após o recente ataque ao Balancer.
No dia 3 de novembro, o veterano protocolo DeFi Balancer sofreu um ataque sem precedentes, resultando em perdas que ascendem a 116,6 milhões $.
Este montante avultado foi rapidamente desviado através de uma vulnerabilidade de callback cross-chain nos contratos inteligentes das pools Balancer V2. Até 4 de novembro, o atacante continuava a converter os ativos roubados em ETH através do Cow Protocol.
01 Resumo do Incidente: Fundos Massivos Desaparecem Num Instante
O ataque ao Balancer abalou o universo cripto a 3 de novembro, com perdas iniciais estimadas em cerca de 70 milhões $, valor que rapidamente aumentou.
À data da redação deste artigo, as perdas totais já atingem 116,6 milhões $, tornando-se o incidente de segurança mais grave da história do Balancer.
Os dados on-chain revelam que os principais ativos roubados foram tokens de staking líquido, incluindo WETH, wstETH, osETH, frxETH, rsETH, rETH, entre outros.
Estes ativos estavam distribuídos por várias redes—ETH, Base, Sonic—sendo que o Ethereum sofreu o maior impacto, representando quase 100 milhões $ em perdas.
02 Análise da Vulnerabilidade: Uma Catástrofe Provocada por um Erro Elementar
Os investigadores de segurança identificaram rapidamente a causa raiz. Segundo a Defimon Alerts e a Decurity, o problema residia nas verificações de controlo de acesso da função manageUserBalance no protocolo Balancer V2.
Ao verificar permissões de levantamento, o sistema deveria confirmar se o autor da chamada era efetivamente o titular da conta. Contudo, o código validava erroneamente se o msg.sender (quem efetivamente faz a chamada) correspondia ao parâmetro op.sender fornecido pelo utilizador.
Como op.sender é um input controlado pelo utilizador, os atacantes conseguiram facilmente falsificar a identidade e contornar as verificações de permissões.
O facto de um erro tão básico de controlo de acesso surgir num protocolo com cinco anos de funcionamento deixou os especialistas de segurança perplexos.
03 Perspetiva Histórica: Seis Incidentes de Segurança em Seis Anos
Se o título "Balancer Hackeado" lhe soa familiar, não está sozinho. Este é, na verdade, o sexto grande incidente de segurança do Balancer nos últimos cinco anos.
Uma retrospetiva da história de segurança do Balancer traça um quadro preocupante:
- Junho de 2020: Vulnerabilidade em tokens deflacionários, ~520 000 $ perdidos
- Março de 2023: Perdas indiretas devido ao incidente da Euler, ~11,9 milhões $ perdidos
- Agosto de 2023: Bug de precisão em pools V2, ~2,1 milhões $ perdidos
- Setembro de 2023: Ataque de hijacking DNS, ~240 000 $ perdidos
- Junho de 2024: Projeto forkado Velocore hackeado, ~6,8 milhões $ perdidos
As falhas de segurança recorrentes expõem não só as defesas frágeis do Balancer, mas de todo o ecossistema DeFi.
04 Impacto no Mercado: Confiança em Colapso e Queda de Preço
O mercado reagiu de forma rápida e acentuada. Segundo a CoinMarketCap, o token BAL (Balancer) caiu 7,13 % a 3 de novembro, fechando nos 0,92 $.
A capitalização atual do BAL ronda os 62,2 milhões $, menos cerca de 4,78 milhões $ face ao dia anterior. Os dados da plataforma Gate mostram que o preço do BAL tem estado sob pressão há algum tempo.
A confiança na segurança do Balancer foi profundamente abalada, com investidores a ajustarem ativamente as suas posições e a emergirem fortes pressões de venda.
Um dado curioso: a LookonChain reportou que uma "baleia" cripto, inativa há três anos, acordou subitamente após o exploit do Balancer, apressando-se a retirar 6,5 milhões $ em ativos da plataforma.
05 Efeito Cascata na Indústria: Medidas de Emergência e Suspensão de Operações
Em resposta à crise, vários projetos integrados com o Balancer tomaram medidas urgentes:
- A Lido retirou as suas posições não afetadas do Balancer
- A Berachain anunciou a pausa total da rede para um hard fork de emergência, corrigindo vulnerabilidades BEX associadas ao Balancer V2
- O fundador da Berachain, Smokey The Bera, afirmou que a equipa da Ethena desativou a ponte Bera e suspendeu operações de mercado relacionadas
Estas ações sublinham o papel central do Balancer no ecossistema DeFi e evidenciam como uma única vulnerabilidade pode desencadear riscos sistémicos.
06 O Futuro da Segurança DeFi: Da Dívida Técnica à Gestão de Risco
Uma das inovações do Balancer—permitir até oito tokens com pesos personalizados numa única pool—tornou-se também o seu calcanhar de Aquiles.
Comparando com o design simplificado do Uniswap, a complexidade do Balancer cresce exponencialmente. Cada token adicional aumenta drasticamente o espaço de estados e a superfície de ataque da pool.
O Balancer optou por uma iteração rápida, sobrepondo novas funcionalidades ao código legado, desde a V1 à V2 e Boosted Pools.
Esta acumulação de "dívida técnica" transformou a base de código numa estrutura precária.
Em 2025, a segurança DeFi enfrenta novos desafios. O ataque TEE.Fail demonstrou que até a segurança ao nível de hardware pode ser comprometida com ferramentas que custam apenas 1 000 $.
Os vetores de ataque passaram de bugs em contratos inteligentes para vulnerabilidades operacionais, sendo que 80,5 % das perdas resultam agora de phishing, airdrops falsos e fugas de chaves privadas—ameaças que têm origem fora da cadeia.
Para mitigar estes riscos, inovações como a criptografia de conhecimento zero e carteiras multisig permitiram reduzir as perdas por exploits em 90 % desde 2020.
07 Guia para Investidores: Navegar os Riscos com Prudência
Para os investidores, este incidente é um alerta claro. Navegar no universo DeFi exige vigilância:
- Retirar fundos das pools afetadas: Remover imediatamente os fundos das pools Balancer V2 para evitar perdas adicionais
- Revogar autorizações: Utilizar Revoke, DeBank ou Etherscan para cancelar permissões de contratos inteligentes associadas a endereços do Balancer
- Priorizar projetos auditados: Optar por protocolos que aliem auditorias de contratos inteligentes a monitorização em tempo real e circuit breakers
- Utilizar carteiras multisig: Mitigar riscos de ponto único de falha, especialmente para grandes patrimónios
Perspetivas Futuras
Até 4 de novembro, as últimas atualizações mostram que o hacker do Balancer está a trocar ativamente tokens de staking líquido roubados por ETH através do Cow Protocol. Analistas on-chain observaram o atacante a converter ativos em várias redes para ETH, USDC e outros tokens principais.
A equipa oficial do Balancer ofereceu uma recompensa white-hat de 20 % pela devolução dos ativos roubados, válida por 48 horas. Contudo, as expectativas de recuperação são cada vez mais reduzidas.
Para os observadores, a DeFi mantém-se como uma experiência social inovadora; para os participantes, cada exploit é uma lição dispendiosa; para o setor, construir um ecossistema DeFi robusto é o preço da maturidade.
