O protocolo DeFi Balancer parece ter sofrido uma exploração, com uma estimativa inicial de US$ 128,6 milhões em ativos drenados de seus cofres, de acordo com a empresa de segurança blockchain Peckshield. Com a notícia, o token BAL da Balancer tinha queda de mais de 9%, segundo dados do CoinGecko.

Os registros de transações do Etherscan mostram grandes transferências incomuns do endereço “0xBA1…BF2C8” da Balancer para uma carteira externa. As saídas incluíram cerca de 6.587 WETH ($3,631.13) (US$ 24,5 milhões), 6.851 osETH (US$ 26,9 milhões) e 4.260 wstETH (~US$ 19,3 milhões) — indicando que dezenas de milhões de dólares em ativos foram retirados dos cofres do protocolo.

A Balancer confirmou o problema, dizendo que está “ciente de uma potencial exploração que afeta os pools da Balancer v2”. A equipe disse que suas unidades de engenharia e segurança estão investigando com alta prioridade e compartilharão “atualizações verificadas e próximas etapas assim que tivermos mais informações”.

Vários provedores de análise blockchain, incluindo a Nansen, também sinalizaram as transações como suspeitas.

No X, Mikko Ohtamaa, CEO e cofundador da Trading Strategy, afirmou que a análise inicial aponta para uma falha na verificação do contrato inteligente como a provável causa raiz e que pode superar US$ 100 milhões. A PeckShield disse que o ataque ainda está em andamento em várias blockchains onde a Balancer está implantada.

Enquanto o ataque continuava, uma baleia que estava inativa há mais de três anos correu para sacar todo o seu saldo de US$ 6,5 milhões da plataforma, conforme compartilhado pelos analistas on-chain da Lookonchain em um alerta, citando dados da Arkham.

Como aconteceu o ataque

O ataque ocorreu devido a uma falha no controle de acesso na função “manageUserBalance”, de acordo com a ferramenta de segurança Decurity.

A vulnerabilidade decorreu da função validateUserBalanceOp, que compara msg.sender com um op.sender fornecido pelo usuário, uma falha lógica que permite saques não autorizados por meio da operação UserBalanceOpKind.WITHDRAW_INTERNAL.

Na prática, isso significa que os invasores poderiam acionar saques internos de saldo dos contratos inteligentes da Balancer sem as permissões adequadas. O endereço do explorador já começou a consolidar os ativos, levantando preocupações sobre uma possível lavagem de dinheiro por meio de misturadores descentralizados ou pontes entre blockchains.

Este é o terceiro incidente de segurança conhecido do projeto, após ocorrências em 2021 e 2023 que, juntas, custaram milhões.

O cofre é o contrato inteligente principal da Balancer, onde todos os tokens de cada pool da Balancer são realmente armazenados. Em vez de cada pool gerenciar seus próprios fundos, tudo é roteado por meio desse único contrato.

O design, introduzido pela primeira vez na Balancer v2, separa a contabilidade de tokens da lógica do pool (como funcionam as trocas, adições de liquidez e saques). Isso torna os pools menores, mais simples e mais seguros de construir, e qualquer pessoa pode integrar um novo design de pool sem criar uma nova DEX completa.

Esse design parece estar afetando também os serviços construídos sobre a Balancer, com o projeto Beets Finance, criado de um fork, dizendo que também foi impactado, resultando em perdas de mais de US$ 3 milhões.

Há mais de US$ 60 milhões bloqueados em serviços construídos sobre a Balancer V2, mostra o DefiLlama, expondo os fundos ao risco potencial de serem drenados caso os protocolos não tenham instalado medidas de segurança adicionais para mitigar os riscos no caso de o contrato principal ser explorado.

No MB, a sua indicação vale Bitcoin para você e seus amigos. Para cada amigo que abrir uma conta e investir, vocês ganham recompensas exclusivas. Saiba mais!

O post Protocolo DeFi Balancer sofre ataque e perde mais de US$ 100 milhões em fundos apareceu primeiro em Portal do Bitcoin.