O protocolo DeFi Balancer parece ter sofrido uma exploração, com uma estimativa inicial de US$ 128,6 milhões em ativos drenados de seus cofres, de acordo com a empresa de segurança blockchain Peckshield. Com a notícia, o token BAL da Balancer tinha queda de mais de 9%, segundo dados do CoinGecko.
Os registros de transações do Etherscan mostram grandes transferências incomuns do endereço “0xBA1…BF2C8” da Balancer para uma carteira externa. As saídas incluíram cerca de 6.587 WETH (US$ 24,5 milhões), 6.851 osETH (US$ 26,9 milhões) e 4.260 wstETH (~US$ 19,3 milhões) — indicando que dezenas de milhões de dólares em ativos foram retirados dos cofres do protocolo.
A Balancer confirmou o problema, dizendo que está “ciente de uma potencial exploração que afeta os pools da Balancer v2”. A equipe disse que suas unidades de engenharia e segurança estão investigando com alta prioridade e compartilharão “atualizações verificadas e próximas etapas assim que tivermos mais informações”.
Vários provedores de análise blockchain, incluindo a Nansen, também sinalizaram as transações como suspeitas.
No X, Mikko Ohtamaa, CEO e cofundador da Trading Strategy, afirmou que a análise inicial aponta para uma falha na verificação do contrato inteligente como a provável causa raiz e que pode superar US$ 100 milhões. A PeckShield disse que o ataque ainda está em andamento em várias blockchains onde a Balancer está implantada.
Enquanto o ataque continuava, uma baleia que estava inativa há mais de três anos correu para sacar todo o seu saldo de US$ 6,5 milhões da plataforma, conforme compartilhado pelos analistas on-chain da Lookonchain em um alerta, citando dados da Arkham.
Como aconteceu o ataque
O ataque ocorreu devido a uma falha no controle de acesso na função “manageUserBalance”, de acordo com a ferramenta de segurança Decurity.
A vulnerabilidade decorreu da função validateUserBalanceOp, que compara msg.sender com um op.sender fornecido pelo usuário, uma falha lógica que permite saques não autorizados por meio da operação UserBalanceOpKind.WITHDRAW_INTERNAL.
Na prática, isso significa que os invasores poderiam acionar saques internos de saldo dos contratos inteligentes da Balancer sem as permissões adequadas. O endereço do explorador já começou a consolidar os ativos, levantando preocupações sobre uma possível lavagem de dinheiro por meio de misturadores descentralizados ou pontes entre blockchains.
Este é o terceiro incidente de segurança conhecido do projeto, após ocorrências em 2021 e 2023 que, juntas, custaram milhões.
O cofre é o contrato inteligente principal da Balancer, onde todos os tokens de cada pool da Balancer são realmente armazenados. Em vez de cada pool gerenciar seus próprios fundos, tudo é roteado por meio desse único contrato.
O design, introduzido pela primeira vez na Balancer v2, separa a contabilidade de tokens da lógica do pool (como funcionam as trocas, adições de liquidez e saques). Isso torna os pools menores, mais simples e mais seguros de construir, e qualquer pessoa pode integrar um novo design de pool sem criar uma nova DEX completa.
Esse design parece estar afetando também os serviços construídos sobre a Balancer, com o projeto Beets Finance, criado de um fork, dizendo que também foi impactado, resultando em perdas de mais de US$ 3 milhões.
Há mais de US$ 60 milhões bloqueados em serviços construídos sobre a Balancer V2, mostra o DefiLlama, expondo os fundos ao risco potencial de serem drenados caso os protocolos não tenham instalado medidas de segurança adicionais para mitigar os riscos no caso de o contrato principal ser explorado.
No MB, a sua indicação vale Bitcoin para você e seus amigos. Para cada amigo que abrir uma conta e investir, vocês ganham recompensas exclusivas. Saiba mais!
