Em 5 anos, 6 incidentes com perdas acima de 100 milhões: histórico de ataques hackers ao veterano protocolo DeFi Balancer

Chainfeeds Introdução:

Para os observadores, DeFi é um experimento social inovador; para os participantes, ser hackeado no DeFi é uma lição cara.

Fonte:

TechFlow

Opinião:

TechFlow: A equipe oficial do Balancer publicou rapidamente um comunicado após o incidente, reconhecendo a descoberta de uma vulnerabilidade que poderia afetar os pools V2 e informou que as equipes de engenharia e segurança estavam investigando o caso com alta prioridade, prometendo divulgar os resultados da verificação e as próximas medidas assim que tivessem mais informações. Ao mesmo tempo, a equipe anunciou que estava disposta a oferecer uma recompensa white hat de 20% dos ativos roubados para recuperar os fundos, com prazo de 48 horas. Embora a resposta tenha sido rápida, ainda soou burocrática e não conseguiu acalmar a ansiedade da comunidade. Para os veteranos do DeFi, o Balancer ser hackeado já se tornou quase uma notícia cíclica. Desde sua fundação em 2020, esse protocolo veterano, outrora elogiado como um market maker flexível, sofreu seis incidentes de segurança em cinco anos, praticamente sendo alvo de hackers anualmente. Em junho de 2020, o Balancer perdeu cerca de US$ 520.000 devido a uma falha no tratamento do token deflacionário STA. O atacante explorou a característica do STA de destruir automaticamente 1% da taxa de transferência, tomou emprestado 104.000 ETH na dYdX e realizou 24 transações em loop no pool até que todo o STA fosse consumido, restando apenas 1 wei, e então trocou por ETH, WBTC, LINK e SNX a um preço extremamente desequilibrado. Esse incidente foi a primeira grande derrota do Balancer e revelou a base frágil do protocolo em relação à compatibilidade com tokens complexos. Nos anos seguintes, o Balancer continuou sofrendo incidentes de segurança. Em março de 2023, foi afetado pelo ataque ao Euler Finance, com uma perda de cerca de US$ 11,9 milhões. Na época, o Euler sofreu um ataque de flash loan de US$ 197 milhões, e o pool bb-e-USD do Balancer, que detinha o Euler eToken, teve fundos transferidos para o Euler, representando 65% do TVL do pool. Apesar da equipe ter congelado o pool rapidamente, as perdas não puderam ser recuperadas. Em agosto do mesmo ano, o pool V2 sofreu um ataque de vulnerabilidade de "erro de arredondamento", onde o atacante explorou a imprecisão do Boosted Pool para causar um cálculo anormal do fornecimento de BPT e extrair ativos a uma taxa de câmbio indevida. Embora o Balancer tenha alertado os usuários em 22 de agosto e pedido para retirarem os fundos, cinco dias depois o hacker conseguiu executar o ataque, causando uma perda de cerca de US$ 2,1 milhões. Em setembro, ocorreu um ataque de sequestro de DNS, onde o hacker usou engenharia social para invadir o registrador EuroDNS, sequestrou o domínio balancer.fi e direcionou os usuários para um site de phishing, usando o contrato malicioso Angel Drainer para induzir autorizações de transferência. Embora esse incidente não tenha sido causado por uma falha de contrato inteligente, mostrou a vulnerabilidade dos protocolos Web3 na camada de segurança da internet tradicional. Em junho de 2024, o projeto fork Velocore do Balancer foi hackeado, com uma perda de US$ 6,8 milhões, devido a uma vulnerabilidade de overflow no design do pool CPMM, destacando o risco sistêmico da arquitetura do Balancer. O ataque de novembro de 2025 foi o mais grave até agora. As empresas de segurança Decurity e Defimon Alerts apontaram que a vulnerabilidade estava no erro de lógica de controle de acesso da função manageUserBalance do protocolo V2. Normalmente, o sistema deveria verificar se o chamador é o proprietário da conta, mas o código verificava erroneamente se msg.sender era igual ao parâmetro personalizado op.sender do usuário. Como op.sender pode ser definido livremente pelo usuário, o atacante pôde forjar a identidade e contornar a verificação de permissão para executar a operação WITHDRAW_INTERNAL, retirando ativos de qualquer conta diretamente do cofre. Em outras palavras, qualquer pessoa poderia se passar pelo proprietário de qualquer conta e sacar fundos. É chocante que um erro tão básico de controle de acesso tenha ocorrido em um protocolo maduro com cinco anos de operação. Olhando para trás, fica claro que a complexidade e a rápida iteração do Balancer levaram ao enfraquecimento constante das fronteiras de segurança — o design do pool de pesos personalizados, permitindo até oito tokens, aumentou a flexibilidade, mas ampliou exponencialmente a superfície de ataque. Com a sobreposição de funcionalidades e o acúmulo de dívida técnica, a estrutura de código do Balancer se assemelha a uma torre de blocos frágil. A vulnerabilidade mais recente revela não apenas uma falha de contrato, mas também uma preocupação sobre o caminho de desenvolvimento do DeFi: em meio à narrativa e ao frenesi de capital, a robustez do código parece ter se tornado uma consideração secundária.