Como 11 auditorias não conseguiram impedir o hack de 128 milhões de dólares da Balancer, redefinindo os riscos do DeFi

Durante anos, o Balancer foi considerado uma das instituições mais confiáveis da DeFi, um protocolo que sobreviveu a vários mercados de baixa, auditorias e integrações sem escândalos.

No entanto, essa credibilidade desmoronou em 3 de novembro, quando a empresa de segurança blockchain PeckShield relatou que o Balancer e vários de seus forks estavam sob um ataque ativo que se espalhava por múltiplas redes.

Em poucas horas, mais de US$ 128 milhões desapareceram, deixando um rastro de pools drenados, protocolos congelados e investidores abalados.

Dados da PeckShield mostraram que o protocolo da plataforma no Ethereum sofreu as maiores perdas, cerca de US$ 100 milhões. Berachain veio em seguida com US$ 12,9 milhões, enquanto Arbitrum, Base e forks menores como Sonic, Optimism e Polygon registraram roubos menores, mas ainda significativos.

Total de Fundos Roubados no Hack do Balancer (Fonte: Peckshield)

À medida que o escoamento acontecia, o Balancer reconheceu um “potencial exploit impactando os pools do Balancer v2”, afirmando que suas equipes de engenharia e segurança estavam investigando o problema com alta prioridade.

No entanto, esse reconhecimento fez pouco para desacelerar os saques entre integradores e forks.

Ao final do dia, dados do DeFiLlama mostraram que o valor total bloqueado (TVL) do Balancer havia diminuído 46%, para aproximadamente US$ 422 milhões, em comparação com US$ 770 milhões no momento da publicação.

Hack DeFi do Balancer (Fonte: DeFiLlama)

O que aconteceu?

As análises preliminares da empresa de segurança blockchain Phalcon indicaram que o atacante mirou nos Balancer Pool Tokens (BPT), que representam as participações dos usuários nos pools de liquidez.

Segundo a empresa, a vulnerabilidade surgiu da forma como o Balancer calculava os preços dos pools durante swaps em lote. Manipulando essa lógica, o explorador distorceu o feed de preços interno, criando um desequilíbrio artificial que permitiu a retirada de tokens antes que o sistema se corrigisse.

Como o Atacante Explorou o Código do Balancer (Fonte: Phalcon)

O analista de cripto Adi escreveu:

“Autorizações inadequadas e manipulação de callbacks permitiram que o atacante burlasse as proteções. Isso possibilitou swaps não autorizados ou manipulações de saldo entre pools interconectados, drenando ativos em rápida sucessão (em minutos).”

Enquanto isso, a arquitetura de vaults compostáveis do Balancer, frequentemente elogiada por sua flexibilidade, amplificou os danos. Como os vaults podiam se referenciar dinamicamente, a distorção se espalhou por pools interconectados.

Curiosamente, Conor Grogan, da Coinbase, apontou que a abordagem do atacante sugeria sofisticação profissional.

Grogan observou que o endereço do atacante foi inicialmente financiado com 100 ETH vindos do Tornado Cash, sugerindo que os fundos provavelmente vieram de exploits anteriores.

“Normalmente, as pessoas não deixam 100 ETH no Tornado Cash por diversão”, escreveu ele, sugerindo que o padrão de transação refletia um hacker experiente e previamente ativo.

Colapso da confiança na DeFi

Embora o exploit tenha sido técnico, seu impacto foi psicológico.

O Balancer era há muito considerado um local conservador para provedores de liquidez, um lugar para estacionar ativos e obter rendimentos modestos e estáveis. Sua longevidade, auditorias e integrações com as principais plataformas DeFi alimentaram a ilusão de que resistência equivalia a segurança. A violação de 3 de novembro destruiu essa narrativa da noite para o dia.

Lefteris Karapetsas, fundador da plataforma cripto Rotki, chamou isso de “um colapso de confiança” e não apenas um hack da plataforma DeFi.

Ele lamentou o fato de que:

“Um protocolo ativo desde 2020, auditado e amplamente utilizado, ainda pode sofrer uma perda quase total de TVL. Isso é um sinal de alerta para qualquer um que acredita que a DeFi é ‘estável’.”

Essa reação capturou o sentimento geral. Em um mercado que valoriza a autocustódia e o código verificável, a confiança silenciosamente substituiu a fé como o alicerce oculto da DeFi.

O fracasso do Balancer mostrou que até sistemas matematicamente sólidos são vulneráveis a complexidades imprevistas.

Robdog, o desenvolvedor pseudônimo do Cork Protocol, disse:

“Embora os fundamentos da [DeFi] estejam cada vez mais seguros, a triste realidade é que o risco de contratos inteligentes está por toda parte.”

Implicações para a DeFi

O exploit do Balancer ocorreu em um momento delicado para as finanças descentralizadas, quebrando um breve período de calmaria. Em outubro, as perdas totais com hacks caíram para o menor valor do ano, apenas US$ 18 milhões, segundo a PeckShield.

No entanto, com um único incidente em novembro, o valor já ultrapassou US$ 120 milhões, tornando-o o terceiro pior mês para violações DeFi em 2025.

Perdas Mensais com Hacks DeFi em 2025 (Fonte: DeFiLlama)

Enquanto isso, esse ataque destaca um paradoxo fundamental no cerne da DeFi: a composabilidade, o recurso que permite que protocolos se conectem e construam uns sobre os outros, também amplifica o risco sistêmico.

Quando um protocolo central como o Balancer falha, o impacto se espalha instantaneamente pelas redes que dependem dele.

No Berachain, validadores pausaram a produção de blocos para evitar o contágio. Outros protocolos seguiram com suspensões temporárias de funções de empréstimo e bridge.

Essas reações rápidas limitaram as perdas, mas também ressaltaram uma verdade maior: a DeFi opera sem os mecanismos de coordenação que estabilizam as finanças tradicionais.

Nesse espaço, não há reguladores, bancos centrais ou garantias obrigatórias. Em vez disso, a gestão de crises depende fortemente de desenvolvedores e auditores trabalhando em conjunto, muitas vezes em questão de minutos, para conter os danos.

Considerando isso, Robdog disse:

[Isso é] um bom lembrete do porquê precisamos desenvolver uma infraestrutura de gerenciamento de riscos melhor.”

Além da perda técnica imediata, o dano à confiança pode ser mais difícil de reparar.

Cada exploit importante corrói a confiança na promessa da DeFi de código autorregulável. Para investidores institucionais considerando exposição ao setor, as falhas repetidas sinalizam que os mercados descentralizados ainda são experimentais.

Karapetsas observou:

“Nenhum capital sério é alocado em sistemas tão frágeis.”

Essa percepção já está moldando políticas em grandes economias ao redor do mundo.

Suhail Kakar, um desenvolvedor web3 de destaque, destacou uma realidade preocupante após o exploit do Balancer: mesmo múltiplas auditorias de segurança de alto nível não podem garantir segurança na DeFi.

Como ele observou, o Balancer passou por mais de dez auditorias, com seu contrato principal de vault revisado por várias empresas independentes; ainda assim, o protocolo sofreu uma grande violação.

O ponto de Kakar destaca um sentimento crescente no setor de que “auditado por X” não é mais um selo de infalibilidade; em vez disso, reflete a complexidade inerente e a imprevisibilidade dos sistemas descentralizados, onde até códigos bem testados podem abrigar vulnerabilidades ocultas.

Auditorias do Balancer V2 (Fonte: Balancer docs via Suhail Kakar)

Autoridades nos Estados Unidos estão desenvolvendo estruturas que introduziriam regulamentações para protocolos DeFi. Observadores do setor esperam que o exploit do Balancer acelere esses esforços, à medida que os formuladores de políticas lidam com o risco crescente da integração contínua entre cripto e a indústria financeira tradicional.