O protocolo DeFi Balancer passou por um grave incidente que afetou seus cofres, resultando em uma perda estimada de US$ 128,6 milhões em ativos. A informação foi divulgada pela empresa de segurança blockchain, a Peckshield. Somente após essa notícia, o token BAL da Balancer viu seu valor despencar mais de 9%, como mostrado nas análises do CoinGecko.
Em uma investigação nas transações do Etherscan, foram encontradas transferências incomuns do endereço “0xBA1…BF2C8” para uma carteira externa. Esses saques significativos incluíram cerca de 6.587 WETH (aproximadamente US$ 24,5 milhões), 6.851 osETH (cerca de US$ 26,9 milhões) e 4.260 wstETH (em torno de US$ 19,3 milhões). Isso indica que uma quantia considerável de ativos foi retirada rapidamente do protocolo.
A Balancer confirmou a situação, afirmando estar ciente dessa possível exploração e que suas equipes de engenharia e segurança estão investigando o caso com prioridade. Eles prometeram fornecer atualizações assim que tiverem mais detalhes.
Vários provedores de análise, como a Nansen, também sinalizaram essas transações como suspeitas. O CEO da Trading Strategy, Mikko Ohtamaa, sugeriu que uma falha na verificação do contrato inteligente pode ser a origem do problema, acreditando que os danos podem ultrapassar US$ 100 milhões. A Peckshield ainda informou que o ataque pode estar se expandindo em várias blockchains onde a Balancer opera.
Curiosamente, enquanto o ataque ainda ocorria, uma baleia que não movimentava suas criptomoedas há mais de três anos retirou rapidamente US$ 6,5 milhões da plataforma, conforme alertaram analistas de uma empresa de monitoramento.
Como ocorreu o ataque
O ataque se deu por conta de uma falha no controle de acesso na função chamada “manageUserBalance.” Essa vulnerabilidade surgiu da função validateUserBalanceOp, que comparava o msg.sender com um op.sender fornecido pelo usuário. Esse problema lógico permitiu que saques não autorizados fossem feitos.
Na prática, os invasores conseguiram realizar retiradas internas dos contratos inteligentes da Balancer sem ter as permissões necessárias. O endereço de quem explorou o sistema já começou a agrupar os ativos, levantando preocupações sobre uma possível lavagem de dinheiro.
Vale destacar que este é o terceiro incidente de segurança conhecido do projeto, com ocorrências anteriores em 2021 e 2023, que juntas resultaram em enormes perdas financeiras.
O cofre é o núcleo onde todos os tokens de cada pool na Balancer são armazenados. Em vez de cada pool gerenciar seus próprios fundos, tudo é controlado por esse único contrato. Esse modelo foi introduzido com a Balancer v2, que separa a contabilidade de tokens da lógica dos pools, facilitando a criação de novos modelos sem a necessidade de construir uma nova DEX.
Infelizmente, esse ataque terá repercussões em serviços que dependem da Balancer. Por exemplo, o projeto Beets Finance, uma criação derivada da Balancer, também foi impactado e relatou perdas de mais de US$ 3 milhões.
No total, há mais de US$ 60 milhões bloqueados em serviços que usam a Balancer v2. Isso expõe esses fundos a riscos, caso os protocolos não tenham implementado medidas de segurança adicionais adequadas.
