- O ataque à plataforma Balancer aumentou as perdas, passando de estimativas iniciais de US$ 70 milhões para mais de US$ 128 milhões.
- A causa provável foi uma falha no controle de acesso na versão 2, que permitiu saques não autorizados.
- A medida afetou diversas redes: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism e Polygon.
- O protocolo oferecia uma recompensa de 20%; o token BAL caiu e a Berachain sofreu um desligamento de emergência.
El protocolo de finanças descentralizadas Equilibrista registrou uma das suas maiores incidentes de segurança até a data, com um ataque que começou a ser relatado por volta de 70 milhões de dólares e que, de acordo com os dados consolidados mais recentes, Teria facilmente ultrapassado os 128 milhões. em ativos transferidos para novos portfólios.
Os fundos comprometidos incluem osETH, WETH e wstETHe eles teriam se retirado principalmente de piscinas da versão V2A atividade maliciosa se espalhou por diversas redes, enquanto o token BAL Ele sofreu quedas durante o dia. e os usuários aguardavam confirmações oficiais sobre a verdadeira extensão do incidente.
Como o ataque aconteceu
As análises iniciais apontam para um controle de acesso defeituoso na função manageUserBalance do Balancer V2A vulnerabilidade teria origem em operação de validação de saldo do usuário, por meio de comparações incorretas mensagem.sender com um op.sender fornecido pelo usuário, o que teria permitido saques não autorizados através da operação UserBalanceOpKind.SAQUE_INTERNO.
Esse vetor abriu caminho para que agentes maliciosos desencadeassem suas ações. movimentos de equilíbrio interno diretamente de contratos sem as devidas autorizações. Cofre da V2 —o contrato central que detém os tokens de cada pool— passou a ser o foco, afetando não apenas o Balancer, mas também serviços construídos sobre sua arquitetura.
Em paralelo, foram detectados os seguintes fenômenos. esvaziamentos de cofres em redes como Sônico, Polígono e BaseIsso reforça a natureza interconectada do ecossistema DeFi. Endereço do operador Começou a consolidar ativos rapidamente., aumentando o risco de sua subsequente ocultação por meio de misturadores ou pontes entre correntes.
Equipes de segurança especializadas, incluindo a Decurity e analistas de dados on-chain, continuam monitorando o fluxo de fundos e a possível cadeia de transações, com o objetivo de traçar o perfil do atacante e definir com precisão a área da violação..
Extensão dos danos e distribuição pelas cadeias de suprimentos
As estimativas mais recentes elevam o total drenado para cerca de $ 128,64 milhões, com um peso dominante de Ethereum e um impacto significativo em diversas redes de camada 2 e compatíveis. Também foi confirmado que Finanças da BeterrabaO projeto derivativo sofreu perdas superiores a 3 milhões.
- Ethereum: ~ 99,6M
- Berachain: ~ 12,86M
- Arbitragem: ~ 6,96M
- Base: ~ 4,01M
- sônico: ~ 3,44M
- Otimismo: ~ 1,58M
- Polígono: ~ 232.350
Dentre os ativos drenados, destacaram-se os seguintes: 6.850 osETH, 6.590 WETH y 4.260 wstETH, transferido em rápida sucessão para novos portfólios, um padrão consistente com um atacante que conhece a lógica dos contratos e a composição dos pools.
Para incentivar o retorno dos fundos, a equipe da Balancer propôs uma recompensa de 20% formato chapéu brancosob condição de restituição imediata do capital remanescente. Caso contrário, foi emitida uma advertência quanto à colaboração com perícia forense e autoridades em blockchain Identificar o responsável.
O impacto também se estendeu à infraestrutura: Berachain executou um prisão de emergência e um hard fork com o objetivo de limitar o impacto em ativos específicos em sua DEX nativa, com o compromisso de retomar a rede após a recuperação dos fundos afetados.
Resposta ao protocolo e efeitos no mercado
A equipe indicou que as piscinas V2 foram afetadosEnquanto A versão V3 permaneceu operacional. e sem danos, e informou que suas áreas de engenharia e segurança estão investigando com prioridade para determinar medidas de contenção e possíveis rotas de recuperação.
No mercado, o token BAL registro quedas de mais de 5% após o ataque se tornar público, num contexto de cautela generalizada na comunidade DeFiAnalistas on-chain recomendaram evitar a interação com pools da Balancer até que informações técnicas completas estejam disponíveis.
Este incidente soma-se a episódios anteriores: em 2020Um ataque explorou a manipulação de tokens deflacionários por cerca de EUA dollar 500.000: Em 2023 agosto perdas de quase 1 milhão devido a uma vulnerabilidade em piscinas reforçadase naquele mesmo ano um Ataque de DNS redirecionado para um site de Phishing, com um saque aproximado de EUA dollar 238.000.
Para usuários de Espanha e a UEO caso reabre o debate sobre a gestão de riscos em protocolos compostos e a necessidade de auditorias ágeis, ferramentas de proteção do usuário e coordenação entre protocolos, em consonância com a iniciativa regulamentar europeia (Mica) em direção a padrões de segurança mais exigentes.
Com perdas já acima de 128 milhões E com uma investigação ativa em andamento, o episódio do Balancer oferece várias lições: a importância de um controle de acesso robusto em funções críticas, a revisão constante de contratos legados em V2e a preparação de respostas coordenadas — incluindo a opção de Recompensas White Hat— para mitigar os danos e restaurar a confiança.
Sou um entusiasta da tecnologia que transformou seus interesses “geek” em profissão. Passei mais de 10 anos da minha vida usando tecnologia de ponta e mexendo em todos os tipos de programas por pura curiosidade. Agora me especializei em informática e videogames. Isto porque há mais de 5 anos escrevo para diversos sites sobre tecnologia e videojogos, criando artigos que procuram dar-lhe a informação que necessita numa linguagem compreensível para todos.
Se você tiver alguma dúvida, meu conhecimento vai desde tudo relacionado ao sistema operacional Windows até Android para celulares. E meu compromisso é com você, estou sempre disposto a dedicar alguns minutos e te ajudar a resolver qualquer dúvida que você possa ter nesse mundo da internet.