O Balancer, um protocolo que atua no mundo das finanças descentralizadas (DeFi), revelou detalhes de um ataque que ocorreu no dia 3 de novembro. Esse incidente drenou cerca de R$ 680 milhões de suas pools em várias redes, como Ethereum, Base, Avalanche e muitas outras.
Na manhã do ataque, os especialistas de segurança da Hypernative notaram atividades suspeitas e rapidamente mobilizaram uma equipe com a ajuda de parceiros como SEAL 911, BitFinding e StakeWise. O intuito era conter os danos causados pelo invasor.
O relatório preliminar do Balancer apontou que o problema estava relacionado a um erro de arredondamento em uma função específica chamada batchSwap. Essa função oferece aos usuários a possibilidade de combinar várias trocas em uma única transação, o que ajuda a economizar nas taxas de gás. O que aconteceu, de forma simplificada, é que os invasores exploraram um erro em como a liquidação era feita, o que provocou uma queda na liquidez dos pools.
Esse bug permitiu que o sistema arredondasse valores de maneira errada, criando discrepâncias que o infrator utilizou a seu favor, levando a uma manipulação dos saldos e resultando na drenagem dos recursos. Em muitos casos, os fundos foram primeiramente redirecionados para saldos internos do Balancer antes que o invasor os retirasse por meio de transações posteriores. O impacto foi mais significativo nos pools Composable Stable v5, que já estavam com janelas de pausa expiradas.
O Balancer assegurou que a vulnerabilidade afetou apenas os Composable Stable Pools na versão 2 do protocolo e suas bifurcações em outras redes. Eles desativaram a criação de novos pools que pudessem ser vulneráveis e também interromperam os transfers nos pools afetados para impedir novas emissões. Por segurança, a equipe permitiu que os usuários retirassem seus recursos das pools pausadas.
Um relatório final será divulgado em breve, contendo números definitivos sobre perdas e recuperações, assim que todas as validações forem concluídas.
Recuperação em Outras Redes
O ataque não se limitou apenas ao Balancer; outras redes e bifurcações, como BEX na Berachain e Beets na Sonic, também foram afetadas. Para enfrentar a situação, colaboradores do ecossistema tomaram as rédeas e iniciaram ações de emergência.
A StakeWise DAO conseguiu recuperar cerca de US$ 19 milhões em osETH e cerca de US$ 1,7 milhão em osGNO, representando aproximadamente 73,5% do total de osETH que haviam sido roubados. Os validadores da Berachain interromperam a rede para realizar um hard fork de emergência, corrigindo a vulnerabilidade da versão 2 do BEX.
Além disso, a Sonic Labs congelou endereços de supostos invasores, dificultando a movimentação de fundos ligados à sua bifurcação do Balancer. A Gnosis também tomou precauções, restringindo temporariamente atividades para evitar a propagação do ataque, enquanto a Monerium congelou 1,3 milhão de EURe no cofre impactado.
Por fim, bots como BitFinding e Base MEV conseguiram recuperar quantias menores, somando cerca de US$ 750 mil, e devolveram esses valores à Balancer DAO. A equipe ressaltou que uma parte dos ativos foi recuperada ou congelada, e que um balanço final será publicado assim que todos os detalhes forem confirmados.
