Mais um colapso no DeFi! Balancer sofre roubo de mais de 116 milhões de dólares, e as perdas continuam aumentando!

Por volta das 15h48 do dia 3 de novembro (horário GMT+8), a plataforma de monitoramento on-chain detectou repentinamente que o endereço do cofre do Balancer, um protocolo DeFi veterano, realizou uma transferência anormal de grande valor.

De acordo com o Etherscan, ativos multichain, incluindo 6.587 WETH (cerca de 24,5 milhões de dólares), 6.851 osETH (cerca de 26,9 milhões de dólares) e 4.260 wstETH (cerca de 19,3 milhões de dólares), foram transferidos para uma carteira externa.

Vários analistas on-chain acreditam que isso provavelmente foi uma exploração de vulnerabilidade ou um saque não autorizado, e não uma migração rotineira de liquidez. Diversos provedores de análise blockchain, incluindo Nansen, já marcaram essas transações como suspeitas.

Segundo monitoramento da empresa de segurança blockchain PeckShield, o ataque continuou ocorrendo em redes multichain como Ethereum.

Até por volta das 16h48 (GMT+8), o endereço do atacante (0x54B5…30d) realizou mais uma transação ao chamar a função 0x8a4f75d6, e a Lookonchain confirmou que a perda total já ultrapassou 116 milhões de dólares.

Mikko Ohtamaa, cofundador da Trading Strategy, apontou que a análise preliminar indica que a origem da vulnerabilidade está em uma falha no mecanismo de verificação do contrato inteligente. Embora nem todas as versões do Balancer tenham sido afetadas, se forks antigos da V2 apresentarem a mesma vulnerabilidade, as perdas totais podem aumentar ainda mais.

A segurança do DeFi ainda é um desafio

Esta não é a primeira vez que o Balancer enfrenta problemas de segurança.

• Já em 2020, o protocolo sofreu uma perda de cerca de 500 mil dólares porque não considerou o comportamento especial de tokens com “taxa de transferência”, permitindo que atacantes manipulassem ativos do pool via flash loan.

• Em agosto de 2023, foi descoberta uma vulnerabilidade no Boosted Pool da Balancer V2. Apesar do alerta oficial, ainda ocorreu um ataque, resultando em uma perda de cerca de 1 milhão de dólares.

• No mesmo ano, em setembro, o domínio frontend do Balancer foi alvo de um ataque de DNS hijacking, e usuários perderam quase 240 mil dólares após assinarem transações em um site de phishing.

Agora, a mais recente onda de ataques volta a colocar a segurança do DeFi em evidência. Desde o design do contrato até a implantação do frontend, da lógica dos pools de liquidez à gestão de ativos cross-chain, os desafios de segurança enfrentados pelo Balancer parecem nunca ter sido realmente resolvidos.

Além disso, o Balancer é um protocolo central de liquidez, então quando ele é afetado, não é só ele que sofre. Os LPs presos, agregadores que dependem dele, pools de ativos, vaults de estratégia... todos são impactados.

No mundo DeFi, fala-se em “confiança sem intermediários”, mas diante de sucessivas explorações de vulnerabilidades, no que os usuários realmente podem confiar? Após cinco anos de desenvolvimento, o DeFi já não é mais um jogo de nicho para geeks, mas sim uma infraestrutura financeira que administra bilhões de dólares. Infelizmente, mesmo protocolos de ponta como o Balancer ainda não conseguem escapar do destino de velhos problemas não resolvidos e novos danos surgindo.

Resposta do Balancer duas horas depois

Às 17h50 (GMT+8), ou seja, duas horas após o incidente, o Balancer atualizou seu perfil oficial no Twitter: foi descoberta uma vulnerabilidade que pode afetar os pools do Balancer v2. Nossas equipes de engenharia e segurança estão priorizando a investigação e, assim que tivermos mais informações, compartilharemos imediatamente as atualizações confirmadas e os próximos passos.

O Bitpush está acompanhando o desenvolvimento do caso em tempo real e trará as últimas atualizações assim que possível. Fique atento.