Do Balancer ao Berachain: Quando a Blockchain Pressiona o Botão de Pausa

O setor DeFi voltou a estar sob os holofotes.

No dia 3 de novembro (UTC), vários projetos que utilizam a arquitetura Balancer V2 sofreram um ataque sofisticado, com perdas acumuladas superiores a US$ 120 milhões. A violação atingiu a mainnet da Ethereum, Arbitrum, Sonic, Berachain e outras redes, tornando-se um dos incidentes de segurança mais significativos do setor desde os exploits da Euler Finance e Curve Finance.

A análise preliminar da BlockSec classificou o caso como um “exploit de manipulação de preços de alta complexidade”. Os atacantes manipularam o cálculo do preço do BPT (Balancer Pool Token), explorando erros de arredondamento do invariante para provocar distorções de preço e realizar arbitragem repetida em um único batch swap.

Por exemplo, o ataque ao Arbitrum ocorreu em três etapas:

• O invasor inicialmente trocou BPT pelo ativo subjacente, ajustando com precisão o saldo de cbETH para o limiar de arredondamento (cerca de 9 unidades), causando perda de precisão de cálculo para as etapas seguintes;
• Depois, realizou a troca de uma quantidade específica (=8 unidades) entre wstETH e cbETH. O arredondamento para baixo ao escalar reduziu ligeiramente o Δx calculado, fazendo com que Δy fosse subestimado e o invariante D do pool estável diminuísse, pressionando para baixo o preço teórico do BPT;
• Por fim, o invasor inverteu o swap, convertendo o ativo subjacente novamente para BPT e embolsando o lucro obtido com o preço artificialmente depreciado.

Em resumo, este foi um exploit de precisão direcionado à interseção entre matemática e código.

O Balancer confirmou a exploração das suas Composable Stable Pools V2. A equipe está colaborando com pesquisadores de segurança de referência em uma investigação completa e se comprometeu a publicar um post-mortem detalhado. Todos os pools afetados com função de pausa foram congelados com urgência e iniciaram procedimentos de recuperação. A vulnerabilidade é restrita às Composable Stable Pools V2 e não afeta o Balancer V3 nem outros tipos de pool.

Após o exploit no Balancer V2, projetos que derivam sua arquitetura sofreram grandes impactos. Segundo a DeFiLlama, em 4 de novembro (UTC), o valor total bloqueado nos projetos relacionados caiu para cerca de US$ 49,34 milhões—uma queda de 22,88% em um único dia. O BEX, DEX nativo da Berachain, registrou queda de 26,4% no TVL, chegando a US$ 40,27 milhões, ainda representando 81,6% do ecossistema. Mesmo assim, interrupções na rede e liquidez congelada continuaram a impulsionar a saída de capital. O Beets DEX foi ainda mais afetado, com colapso de 75,85% no TVL em 24 horas e quase 79% ao longo da semana.

Outros DEXs construídos sobre a arquitetura Balancer também enfrentaram retiradas em massa: PHUX caiu 26,8% em um dia, Jellyverse recuou 15,5%, e Gaming DEX despencou 89,3%, com liquidez praticamente esgotada. Mesmo plataformas médias e pequenas não diretamente afetadas, incluindo KLEX Finance, Value Liquid e Sobal, tiveram saídas entre 5% e 20%.

Reação em Cadeia: Berachain Executa Hard Fork de Emergência

A vulnerabilidade no Balancer V2 rapidamente provocou uma reação em cadeia mais ampla.

Berachain, uma nova blockchain pública desenvolvida sobre Cosmos SDK, foi atacada em poucas horas, já que o BEX também utilizava contratos Balancer V2. Ao detectar anomalias, a fundação anunciou a paralisação total da rede.

Os atacantes comprometeram ativos no USDe Tripool do BEX e outros pools de liquidez, com perdas estimadas em US$ 12 milhões. Exploraram a mesma falha lógica do Balancer, recorrendo a múltiplas interações de smart contracts para drenar fundos. Como alguns ativos afetados eram tokens não nativos, a equipe realizou um hard fork para rollback de blocos e restauração, visando rastreamento e recuperação.

Diversos protocolos do ecossistema Berachain—including Ethena, Relay e HONEY—também adotaram medidas defensivas:

• Proibiram transferências cross-chain de USDe;
• Suspenderam depósitos no mercado de empréstimos;
• Interromperam emissão e resgate de HONEY;
• Notificaram exchanges centralizadas para bloquear endereços suspeitos.

A Berachain Foundation afirmou que a suspensão da rede foi planejada e que as operações serão retomadas em breve. O exploit do Balancer afetou principalmente os pools Ethena/Honey por meio de transações complexas de smart contract. Como ativos não nativos (não apenas BERA) foram afetados, o rollback e a restauração exigiram mais do que um hard fork simples, por isso a rede foi pausada até uma solução definitiva ser encontrada.

Em 4 de novembro (UTC), a Berachain Foundation informou que os binários do hard fork estavam distribuídos e alguns validadores já haviam atualizado seus nós. Antes de retomar e gerar novos blocos, querem garantir que parceiros essenciais de infraestrutura (como oráculos de liquidação) tenham atualizado seus endpoints RPC. Estes são os principais desafios para o retorno das atividades on-chain. Quando os principais serviços RPC estiverem ativos, a equipe coordenará com bridges cross-chain, parceiros de CEX e custodians para normalizar as operações.

Enquanto isso, um operador de bot MEV da Berachain procurou a fundação após o halt, alegando ter extraído fundos como “white-hat” e enviou uma mensagem on-chain, oferecendo pré-assinar transações para devolver os fundos assim que a rede voltar ao ar.

Segurança versus descentralização?

“Sabemos que isso é controverso, mas quando cerca de US$ 12 milhões em ativos de usuários estão em risco, proteger os usuários é a única alternativa”, afirmou Smokey The Bera, cofundador da Berachain, em resposta às preocupações sobre centralização.

Ele reconheceu que a Berachain ainda não atingiu o nível de descentralização da Ethereum, e que a coordenação de validadores funciona mais como um “centro de comando de crise” do que uma rede de consenso automatizada. De fato, os nós on-chain foram paralisados em menos de uma hora após o exploit, demonstrando eficiência centralizada, mas também evidenciando concentração na governança.

A resposta da comunidade foi bastante dividida.

Apoiadores disseram que a equipe demonstrou compromisso com a segurança dos usuários—uma forma de “descentralização pragmática”. Os críticos argumentaram que isso violou o princípio “Code is Law” e minou a irreversibilidade on-chain.

O investigador on-chain ZachXBT comentou: “Quando fundos de usuários estão sob ameaça iminente, é uma decisão difícil, mas correta.”

Já alguns desenvolvedores foram diretos: “Se uma blockchain pode ser pausada manualmente a qualquer momento, como ela difere das finanças tradicionais?”

A sombra do hack da DAO volta a assombrar

Esta crise relembrou muitos veteranos do hack da Ethereum DAO em 2016, quando a Ethereum reverteu transações via hard fork para recuperar US$ 50 milhões em fundos roubados—dividindo a comunidade em Ethereum (ETH) e Ethereum Classic (ETC).

Nove anos depois, surge um dilema semelhante.

Desta vez, o protagonista é uma blockchain pública nascente, sem profunda descentralização ou consenso global.

A ação da Berachain pode ter limitado as perdas, mas reacende o debate sobre se blockchains podem ser realmente autônomas.

De certa forma, este episódio é um reflexo para o DeFi: segurança, eficiência e descentralização—um equilíbrio perfeito nunca foi plenamente alcançado.

Quando hackers conseguem roubar dezenas de milhões em segundos, o idealismo frequentemente cede à realidade.

A equipe do Balancer está trabalhando com pesquisadores de segurança de referência, pretende publicar um post-mortem e alerta usuários sobre mensagens fraudulentas enviadas por impostores.

A Berachain deve restaurar gradualmente a produção de blocos e a funcionalidade de transações após o hard fork.

No entanto, recuperar a confiança dos usuários é muito mais difícil do que corrigir código. Para qualquer nova blockchain pública, uma paralisação pode ser uma solução de curto prazo, mas traz consequências de longo prazo—usuários podem duvidar da descentralização da rede e desenvolvedores podem questionar sua imutabilidade.

O DeFi pode estar redefinindo descentralização—não como laissez-faire absoluto, mas como consenso mínimo alcançado em momentos de crise.

Declaração:

1. Este artigo é republicado de [Foresight News] e os direitos autorais pertencem ao autor original [ChandlerZ, Foresight News]. Para dúvidas sobre esta republicação, entre em contato com a equipe Gate Learn para atendimento conforme os procedimentos aplicáveis.
2. Disclaimer: As opiniões e pontos de vista expressos neste artigo são exclusivamente do autor e não constituem aconselhamento de investimento.
3. Outras versões em idiomas diferentes são traduzidas pela equipe Gate Learn. Salvo citação explícita de Gate, é proibido copiar, distribuir ou plagiar artigos traduzidos.