- Balancer sofre ataque e perde R$ 680 milhões em criptos
- Falha em função batchSwap permitiu manipulação de liquidez
- Comunidade reage rápido e recupera parte dos fundos roubados
O protocolo Balancer, um dos principais nomes do universo DeFi, confirmou que uma falha em seu sistema permitiu o roubo de cerca de R$ 680 milhões, o equivalente a US$ 128 milhões, em diversas redes, incluindo Ethereum, Polygon, Avalanche, Arbitrum, Optimism e Base.
O ataque, ocorrido em 3 de novembro, expôs uma vulnerabilidade grave no recurso batchSwap, usado por milhares de investidores para realizar operações combinadas com menores custos de gás.
Erro técnico explorado
Segundo o relatório preliminar da Balancer, a causa da exploração foi um erro de arredondamento na função de dimensionamento para trocas EXACT_OUT dentro do cofre v2.
Essa função permite que usuários combinem várias operações em uma única transação. No entanto, fatores de escala não inteiros fizeram com que o sistema arredondasse valores para baixo durante cálculos específicos, criando pequenas discrepâncias.
Essas diferenças foram suficientes para que invasores manipulassem os saldos internos e drenassem valor dos pools compostos, explorando a liquidez abaixo dos limites mínimos.
Os pools mais afetados foram os Composable Stable v5, cujas janelas de pausa haviam expirado. A Hypernative, parceira de segurança da Balancer, conseguiu pausar automaticamente os pools v6, limitando o impacto do ataque.
A empresa reforçou que a versão v3 e outros tipos de pools permanecem intactos, sem vulnerabilidades conhecidas.
Impacto e resposta imediata
Após detectar a atividade suspeita, a Balancer acionou rapidamente sua rede de parceiros, incluindo SEAL 911, BitFinding e StakeWise, para conter a exploração.
A equipe desativou a fábrica CSPv6, bloqueando a criação de novos pools vulneráveis, e suspendeu temporariamente os medidores de liquidez para evitar novas emissões.
Além disso, foi habilitada a retirada de liquidez dos pools pausados, garantindo que os usuários pudessem sacar fundos com segurança.
Parte dos recursos roubados já foi recuperada ou congelada. A StakeWise DAO conseguiu reaver US$ 19 milhões em osETH e US$ 1,7 milhão em osGNO, o que representa cerca de 73% dos ativos roubados.
Outras redes também tomaram medidas emergenciais, a Berachain realizou um hard fork de emergência, a Sonic Labs congelou endereços suspeitos e a Gnosis limitou temporariamente as pontes entre cadeias.
A Balancer divulgará o relatório final com todos os valores confirmados e ativos recuperados assim que concluir as verificações.
Ainda mais, mesmo após a crise, o protocolo destacou que a resposta rápida de sua comunidade e parceiros foi essencial para evitar perdas ainda maiores e manter a integridade da infraestrutura DeFi.
