Como 11 auditorias não conseguiram impedir o hack de 128 milhões de dólares da Balancer redefinindo os riscos de DeFi

Durante anos, o Balancer destacou-se como uma das instituições mais fiáveis da DeFi / Finanças descentralizadas, um protocolo que sobreviveu a vários mercados baixistas, auditorias e integrações sem escândalos.

No entanto, essa credibilidade desmoronou-se a 3 de novembro, quando a empresa de segurança blockchain PeckShield relatou que o Balancer e várias das suas bifurcações estavam sob um exploit ativo que se espalhava por várias cadeias.

Em poucas horas, mais de 128 milhões de dólares desapareceram, deixando um rasto de pools drenadas, protocolos congelados e investidores abalados.

Os dados da PeckShield mostraram que o protocolo da plataforma no Ethereum sofreu as perdas mais pesadas, cerca de 100 milhões de dólares. O Berachain seguiu-se com 12,9 milhões de dólares, enquanto Arbitrum, Base e bifurcações menores como Sonic, Optimism e Polygon registaram roubos menores, mas ainda significativos.

À medida que a drenagem se desenrolava, o Balancer reconheceu um "potencial exploit afetando as pools do Balancer v2", afirmando que as suas equipas de engenharia e segurança estavam a investigar o problema com alta prioridade.

No entanto, o reconhecimento pouco fez para abrandar os levantamentos entre integradores e bifurcações.

No final do dia, os dados da DeFiLlama mostraram que o valor total bloqueado (TVL) do Balancer tinha diminuído 46% para aproximadamente 422 milhões de dólares, dos 770 milhões de dólares no momento da publicação.

O que aconteceu?

A análise forense preliminar da empresa de segurança blockchain Phalcon indicou que o atacante visou os Balancer Pool Tokens (BPT), que representam as participações dos utilizadores nos pools de liquidez.

De acordo com a empresa, a vulnerabilidade surgiu da forma como o Balancer calculava os preços das pools durante as trocas em lote. Ao manipular essa lógica, o explorador distorceu o feed de preços interno, criando um desequilíbrio artificial que lhes permitiu retirar tokens antes que o sistema se corrigisse.

O analista de criptomoedas Adi escreveu:

Entretanto, a arquitetura de vault composável do Balancer, há muito elogiada pela sua flexibilidade, amplificou os danos. Como os vaults podiam referenciar-se dinamicamente uns aos outros, a distorção propagou-se através de pools interligadas.

Curiosamente, Conor Grogan da Coinbase apontou que a abordagem do atacante sugeria sofisticação profissional.

Grogan observou que o endereço do atacante foi inicialmente financiado com 100 ETH do Tornado Cash, implicando que os fundos provavelmente se originaram de exploits anteriores.

"As pessoas normalmente não estacionam 100 ETH no Tornado Cash por diversão", escreveu ele, sugerindo que o padrão de transação refletia um hacker experiente e previamente ativo.

Colapso de confiança na DeFi

Embora o exploit em si fosse técnico, o seu impacto foi psicológico.

O Balancer há muito era considerado um local conservador para provedores de liquidez, um lugar para estacionar ativos e ganhar rendimentos modestos e estáveis. A sua longevidade, auditorias e integrações em plataformas DeFi líderes fomentaram a ilusão de que a resistência equivalia à segurança. A violação de 3 de novembro destruiu essa narrativa da noite para o dia.

Lefteris Karapetsas, fundador da plataforma de criptomoedas Rotki, chamou-lhe "um colapso de confiança" e não apenas um hack da plataforma DeFi.

Ele lamentou o facto de que:

Essa reação captou o sentimento mais amplo. Num mercado que valoriza a autocustódia e o código verificável, a confiança substituiu silenciosamente a fé como a base oculta da DeFi.

O fracasso do Balancer mostrou que mesmo sistemas matematicamente sólidos são vulneráveis a complexidades imprevistas.

Robdog, o desenvolvedor pseudónimo do Cork Protocol, disse:

Implicações para a DeFi

O exploit do Balancer atingiu um ponto delicado para as finanças descentralizadas, quebrando um breve período de calma. Em outubro, as perdas totais de hacks caíram para um mínimo anual de apenas 18 milhões de dólares, segundo a PeckShield.

No entanto, com um único incidente em novembro, o número já ultrapassou os 120 milhões de dólares, tornando-o o terceiro pior mês para violações DeFi em 2025.

Entretanto, este ataque destaca um paradoxo fundamental no coração da DeFi: a composabilidade, a característica que permite aos protocolos conectarem-se e construírem uns sobre os outros, também amplifica o risco sistémico.

Quando um protocolo central como o Balancer falha, o impacto propaga-se instantaneamente através das redes que dependem dele.

No Berachain, os validadores pausaram a produção de blocos para evitar o contágio. Outros protocolos seguiram com suspensões temporárias de funções de empréstimo e ponte.

Estas reações rápidas limitaram as perdas, mas também sublinharam uma verdade mais ampla, mostrando que a DeFi opera sem os mecanismos de coordenação que estabilizam as finanças tradicionais.

Neste espaço, não há reguladores, bancos centrais ou apoios obrigatórios. Em vez disso, a gestão de crises depende fortemente de desenvolvedores e auditores a trabalhar em conjunto, muitas vezes em minutos, para conter as consequências.

Considerando isto, Robdog disse:

Para além da perda técnica imediata, os danos à confiança podem ser mais difíceis de reparar.

Cada grande exploit erode a confiança na promessa da DeFi de código autorregulador. Para investidores institucionais que consideram a exposição à indústria, as falhas repetidas sinalizam que os mercados descentralizados permanecem experimentais.

Karapetsas observou:

Essa perceção já está a moldar políticas nas principais economias globalmente.

Suhail Kakar, um proeminente desenvolvedor web3, destacou uma realidade sóbria após o exploit do Balancer: mesmo múltiplas auditorias de segurança de alto perfil não podem garantir segurança na DeFi.

Como ele observou, o Balancer passou por mais de dez auditorias, com o seu contrato de vault principal revisto por várias empresas independentes; ainda assim, o protocolo sofreu uma grande violação.

O ponto de Kakar destaca um sentimento crescente na indústria de que "auditado por X" já não é uma marca de infalibilidade; em vez disso, reflete a complexidade inerente e a imprevisibilidade dos sistemas descentralizados onde mesmo código bem testado pode abrigar vulnerabilidades não vistas.

As autoridades nos Estados Unidos estão a desenvolver estruturas que introduziriam regulamentações nos protocolos DeFi. Observadores da indústria esperam que o exploit do Balancer acelere estes esforços, enquanto os legisladores lidam com o risco crescente da integração contínua entre cripto e a indústria financeira tradicional.

O post Como 11 auditorias não conseguiram impedir o hack de 128 milhões de dólares do Balancer redefinindo os riscos da DeFi apareceu primeiro no CryptoSlate.