Desde Balancer até Berachain, quando a cadeia está suspensa.

O ecossistema DeFi voltou a ser o epicentro de uma nova tempestade.

No dia 3 de novembro (UTC), vários projetos desenvolvidos com base no Balancer V2 foram alvo de um ataque sofisticado, provocando perdas superiores a 120 milhões $. O incidente afetou não só a rede principal da Ethereum, como também se alastrou a redes como Arbitrum, Sonic e Berachain, constituindo mais uma grande crise de segurança no setor após os ataques a Euler Finance e Curve Finance.

A análise preliminar realizada pela BlockSec classificou o incidente como um “ataque de manipulação de preços de alta complexidade”. O atacante manipulou a lógica de cálculo do preço do BPT (Balancer Pool Token), explorando erros de arredondamento no invariante para distorcer os preços e realizar arbitragem repetida numa única troca em lote.

Por exemplo, o ataque em Arbitrum decorreu em três fases:

• O atacante começou por trocar BPT por ativos subjacentes, ajustando com precisão o saldo de cbETH até ao limiar de arredondamento (cerca de 9 unidades), criando as condições para a perda de precisão subsequente;
• De seguida, trocou-se uma quantidade fixa (=8) entre wstETH e cbETH. Durante o ajuste de escala, o arredondamento inferior fez com que o Δx calculado diminuísse ligeiramente, levando a um Δy subestimado, reduzindo o invariante D do stable pool e pressionando em baixa o preço teórico do BPT;
• Por fim, o atacante voltou a converter os ativos subjacentes em BPT, lucrando com o preço artificialmente depreciado.

Em resumo, tratou-se de um ataque de precisão na fronteira entre matemática e código.

A equipa oficial do Balancer confirmou que os Pools Estáveis Componíveis V2 foram explorados. Estão a colaborar com investigadores de segurança de topo na investigação, comprometeram-se a publicar uma análise detalhada pós-incidente e procederam ao congelamento urgente de todos os pools afetados que podem ser pausados. A vulnerabilidade restringe-se aos Pools Estáveis Componíveis V2 e não afeta o Balancer V3 nem outros tipos de pool.

Após a exploração do Balancer V2, todos os projetos derivados do Balancer sofreram perturbações severas. De acordo com a DeFiLlama, a 4 de novembro (UTC), o valor total bloqueado (TVL) nos projetos associados caiu para cerca de 49,34 milhões $, uma descida diária de 22,88%. A BEX, DEX nativa da Berachain, registou uma quebra de 26,4% no TVL, para 40,27 milhões $ — ainda 81,6% do TVL do ecossistema — mas as saídas continuaram devido à interrupção da rede e à liquidez bloqueada. Outra vítima, a Beets DEX, teve um desempenho ainda mais negativo, com o TVL a afundar 75,85% em 24 horas e quase 79% nos últimos 7 dias.

Outros DEX baseados no Balancer também registaram levantamentos em massa: PHUX registou uma quebra de 26,8% num só dia, Jellyverse desvalorizou 15,5%, e a Gaming DEX registou uma quebra de 89,3%, resultando na perda quase total de liquidez. Mesmo projetos mais pequenos, não diretamente afetados — como KLEX Finance, Value Liquid e Sobal — apresentaram reduções típicas entre 5% e 20%.

Reação em Cadeia: Berachain Executa Hard Fork de Emergência

A vulnerabilidade do Balancer V2 provocou rapidamente efeitos em cadeia.

Berachain, uma blockchain pública recente baseada em Cosmos SDK, foi também afetada em poucas horas, uma vez que a sua DEX nativa, BEX, recorre a contratos do Balancer V2. A fundação anunciou de imediato a suspensão total da rede ao detetar atividade suspeita.

A USDe Tripool da BEX e outros pools de liquidez estavam ameaçados, com cerca de 12 milhões $ em risco. O atacante explorou a mesma falha lógica do Balancer, drenando fundos através de múltiplas interações com smart contracts. Como alguns ativos eram tokens não nativos, a equipa teve de executar uma bifurcação rígida para reverter blocos afetados, permitindo a recuperação e rastreio dos fundos.

Paralelamente, vários protocolos do ecossistema Berachain — incluindo Ethena, Relay e HONEY — adotaram medidas defensivas:

• Bloquearam transferências cross-chain de USDe;
• Pausaram depósitos nos mercados de lending;
• Suspenderam a emissão e o resgate de HONEY;
• Notificaram exchanges centralizadas para colocar endereços suspeitos na lista negra.

A Fundação Berachain declarou que a suspensão da rede foi deliberada e que as operações normais serão retomadas em breve. O ataque afetou principalmente o three-pool Ethena/Honey, através de interações complexas com smart contracts. Como os ativos afetados não eram apenas BERA, o processo de reversão/progressão implicou mais do que uma simples bifurcação rígida, mantendo a rede suspensa até ser encontrada uma solução abrangente.

No dia 4 de novembro (UTC), a fundação anunciou que os binários da bifurcação rígida tinham sido distribuídos e alguns validadores já foram atualizados. Antes de voltar a estar online e retomar a produção de blocos, pretendem garantir que todos os parceiros de infraestrutura core (por exemplo, oráculos de liquidação) atualizaram os respetivos RPC, sendo este um requisito fundamental para restaurar a cadeia. Assim que os serviços core estejam prontos, a equipa irá coordenar com bridges, CEX, custodians e outros intervenientes para reativar os restantes serviços.

Entretanto, um operador ético de bot MEV da Berachain contactou a fundação após a interrupção, afirmando ter extraído fundos como hacker ético e enviado uma mensagem on-chain. O operador manifestou disponibilidade para pré-assinar transações e devolver os fundos assim que a blockchain seja retomada.

Segurança ou Descentralização?

“Sabemos que é controverso, mas quando estão em risco cerca de 12 milhões $ em ativos de utilizadores, proteger os utilizadores é a única opção”, afirmou Smokey The Bera, cofundador da Berachain, em resposta às preocupações quanto à centralização.

Reconheceu que a Berachain ainda não atingiu o grau de descentralização da Ethereum e que a coordenação entre validadores funciona mais como um centro de comando de crise do que como uma rede de consenso automatizada. Na prática, os nós on-chain foram suspensos dentro de uma hora após o ataque, ilustrando a eficácia das decisões centralizadas — mas também evidenciando o grau de centralização da governação.

A resposta da comunidade dividiu-se de imediato.

Os defensores consideraram que a medida demonstrou responsabilidade pela segurança dos utilizadores — uma forma de “descentralização realista”. Os críticos argumentaram que violou o princípio “Code is Law” e comprometeu a imutabilidade on-chain.

O investigador on-chain ZachXBT comentou: “Com fundos de utilizadores sob ameaça iminente, esta foi uma decisão difícil, mas certa.”

Alguns developers mais interventivos replicaram: “Se uma blockchain pode ser pausada por humanos a qualquer momento, em que difere realmente do sistema financeiro tradicional?”

O Regresso da Sombra do Incidente DAO

Esta crise trouxe à memória de muitos veteranos o ataque ao DAO da Ethereum em 2016, quando a Ethereum reverteu transações via bifurcação rígida para recuperar 50 milhões $, dividindo a comunidade em Ethereum (ETH) e Ethereum Classic (ETC).

Nove anos depois, surge um dilema semelhante.

Desta vez, o protagonista é uma blockchain pública jovem — sem grau suficiente de descentralização nem consenso global de uma grande rede.

A intervenção da Berachain evitou prejuízos maiores, mas reacendeu o debate filosófico: será a blockchain verdadeiramente autónoma?

De certo modo, este episódio reflete o ecossistema DeFi: segurança, eficiência e descentralização — nunca se alcançou um equilíbrio real entre estes três pilares.

Quando hackers conseguem destruir dezenas de milhões de dólares em segundos, os “ideais” dão frequentemente lugar à “realidade”.

A equipa do Balancer afirmou estar a trabalhar com investigadores de segurança de topo e irá publicar uma análise detalhada pós-incidente, alertando os utilizadores para tentativas de phishing por parte de equipas de segurança falsas.

A Berachain espera retomar gradualmente a produção de blocos e a funcionalidade de transação após a conclusão da bifurcação rígida.

No entanto, restabelecer a confiança é mais exigente do que corrigir código. Para uma blockchain pública recente, a suspensão da rede é uma medida de emergência, mas pode deixar marcas duradouras. Os utilizadores irão questionar a descentralização e os developers poderão colocar em causa a promessa da imutabilidade.

O universo DeFi poderá estar a redefinir o conceito de descentralização — não como laissez-faire absoluto, mas como consenso em torno do compromisso mínimo possível em contexto de crise.

Declaração:

1. Este artigo é uma reprodução de [Foresight News] e os direitos de autor pertencem ao autor original [ChandlerZ, Foresight News]. Para questões de reprodução, contacte a equipa Gate Learn para resolução célere.
2. Declaração de exoneração de responsabilidade: As opiniões expressas são da exclusiva responsabilidade do autor e não constituem aconselhamento de investimento.
3. As versões noutras línguas são traduzidas pela equipa Gate Learn. Sem referência a Gate, é proibida a cópia, distribuição ou plágio dos artigos traduzidos.