Desvendando o ataque de 116 milhões de dólares à Balancer: identificada a vulnerabilidade na "função de arredondamento", mais um alerta de segurança no DeFi

A descentralizada Balancer confirma que o evento recente que resultou no roubo de mais de 116 milhões de dólares em ativos tem na sua raiz técnica uma falha na lógica de arredondamento (Rounding) presente na função “upscale” do protocolo. Este ataque afetou múltiplas redes, incluindo Ethereum, Arbitrum, Base e Polygon, causando perdas significativas em ativos como WETH, osETH e wstETH.

Apesar do protocolo StakeWise, uma das mais afetadas, ter recuperado aproximadamente 19 milhões de dólares em osETH, a equipa de segurança suspendeu imediatamente os pools de fundos afetados e iniciou rastreamento de ativos em todas as transações suspeitas, destacando a urgência de respostas de segurança na camada de governança cross-chain DeFi.

Análise aprofundada da origem técnica da perda na Balancer

Roubo de 116 milhões de dólares: de vulnerabilidades na lógica EVM a arbitragem multi-chain

O ataque à Balancer, ocorrido a 3 de novembro de 2025, exemplifica uma falha catastrófica provocada por problemas de precisão nos contratos inteligentes. Segundo o relatório preliminar do projeto, a vulnerabilidade residia na lógica de arredondamento da função “upscale” utilizada nas trocas de tokens (Token Swaps).

Em pools de tokens DeFi, cálculos matemáticos precisos são essenciais. Os atacantes exploraram a forma como o código lida com fatores de escala não inteiros (Non-integer Scaling Factors), manipulando sistematicamente os saldos dos pools através de transações cuidadosamente construídas. Assim, conseguiram esvaziar a liquidez em várias redes, transferindo ativos de forma silenciosa antes de uma grande transferência de valor ser descoberta.

O valor total roubado atingiu 116 milhões de dólares, incluindo 6.587 WETH, 6.851 osETH e 4.260 wstETH. Isto evidencia que os atacantes focaram em tokens de staking com características de rendimento complexas, reforçando os riscos associados à integração de tokens de staking de liquidez (LST) com protocolos DEX.

Resposta coletiva: como o ecossistema reage ao fluxo de fundos

Após o incidente, a comunidade DeFi demonstrou uma resposta rápida na contenção do risco.

A StakeWise, uma das plataformas mais afetadas, agiu rapidamente e recuperou cerca de 19 milhões de dólares em osETH, representando aproximadamente 73,5% do valor perdido nesta plataforma, demonstrando uma forte capacidade de controlo interno e resposta de parceiros de segurança.

A Balancer e seus parceiros de segurança ativaram múltiplas camadas de defesa:

• Suspensão imediata de todos os pools afetados.
• Proibição da criação de novos pools para evitar exploração adicional.
• Suspensão de recompensas em pools identificados como de risco, para congelar comportamentos maliciosos impulsionados por incentivos.

De forma mais ampla, protocolos como Sonic Labs realizaram congelamentos de emergência; validadores da Berachain até mesmo pausaram temporariamente a rede para impedir a transferência de fundos pelos atacantes. Esta cooperação entre múltiplas redes e protocolos, quase como uma “paragem temporária” coordenada, reflete a maturidade do setor de segurança DeFi e uma resposta coletiva a riscos sistêmicos.

Roteiro de recuperação e lições para os construtores do setor

Rastreamento de ativos e relatório final: transparência como chave para reconstruir confiança

Atualmente, a equipa da Balancer trabalha em estreita colaboração com especialistas em segurança para auditar o incidente e verificar os ativos roubados. O projeto compromete-se a publicar um relatório final após validação de todos os contratos e transações afetadas, detalhando o valor total de perdas e o estado de recuperação dos ativos.

Para desenvolvedores e construtores de DeFi, este evento serve de alerta:

1. Revisão de precisão das funções: funções de arredondamento e fatores de multiplicação são pontos críticos na implementação EVM, devendo passar por validações formais rigorosas.
2. Isolamento de riscos: embora a integração profunda entre protocolos aumente a eficiência de capital, ela também amplia o impacto de uma única vulnerabilidade em múltiplas redes.

Antes de concluir a recuperação de ativos, recomenda-se que os utilizadores evitem interagir com contratos afetados e acompanhem canais oficiais para informações confiáveis, prevenindo ataques de phishing ou fraudes subsequentes.

Conclusão

A perda massiva de 116 milhões de dólares na Balancer, devido a um erro de arredondamento, reforça a necessidade de elevado rigor na precisão do código no setor DeFi. Apesar do impacto financeiro, a rápida resposta, o congelamento de ativos e a recuperação demonstram que a resiliência da infraestrutura DeFi está a evoluir. No futuro, a comunidade deve focar em melhorias de auditoria e atualizações de código para garantir a robustez do núcleo do protocolo, especialmente na lógica de Automated Market Makers (AMM), que é fundamental para manter a liderança de mercado.