Do Balancer ao Berachain, quando a blockchain está pausada.

O ecossistema DeFi está novamente no epicentro de uma crise.

No dia 3 de novembro (UTC), diversos projetos baseados no Balancer V2 sofreram um ataque sofisticado, totalizando prejuízos superiores a $120 milhões. A ação afetou não só a rede principal da Ethereum, como também se espalhou para cadeias como Arbitrum, Sonic e Berachain, marcando mais uma séria crise de segurança no setor após os ataques à Euler Finance e Curve Finance.

Segundo análise preliminar da BlockSec, tratou-se de um “ataque de manipulação de preços de alta complexidade”. O invasor manipulou o cálculo do preço do BPT (Balancer Pool Token), explorando erros de arredondamento no invariante para distorcer os preços e executar arbitragens repetidas em uma única operação de troca em lote.

Por exemplo, o ataque na Arbitrum se desenrolou em três etapas:

• Primeiro, o atacante trocou BPT por ativos subjacentes, ajustando precisamente o saldo de cbETH até o limite de arredondamento (cerca de 9 unidades) para criar as condições da perda de precisão subsequente;
• Em seguida, uma quantidade definida (=8) foi trocada entre wstETH e cbETH. No processo de escalonamento, o arredondamento para baixo fez com que o Δx calculado diminuísse levemente, gerando um Δy subestimado, reduzindo o invariante do pool estável D e pressionando para baixo o preço teórico do BPT;
• Por fim, o atacante trocou os ativos subjacentes novamente por BPT, lucrando com o preço artificialmente depreciado.

Em resumo, foi um ataque de precisão que explorou a interseção entre matemática e código.

A equipe oficial do Balancer confirmou que os V2 Composable Stable Pools foram alvo do “exploit”. Estão colaborando com pesquisadores de segurança de alto nível para investigar, prometeram uma análise completa após o incidente e congelaram com urgência todos os pools afetados que podem ser pausados. A vulnerabilidade limita-se aos V2 Composable Stable Pools e não afeta o Balancer V3 nem outros tipos de pool.

Após o “exploit” no Balancer V2, todos os projetos que realizaram “fork” do Balancer enfrentaram graves perturbações. Segundo o DeFiLlama, em 4 de novembro (UTC), o valor total bloqueado (“TVL”) nos projetos relacionados caiu para cerca de $49,34 milhões, uma queda de 22,88% em apenas um dia. O BEX, DEX nativo da Berachain, viu o TVL recuar 26,4%, para $40,27 milhões—ainda 81,6% do TVL do ecossistema—mas os saques continuaram devido à paralisação da cadeia e à liquidez congelada. Outro afetado, o Beets DEX, teve resultado ainda mais severo, com TVL desabando 75,85% em 24 horas e quase 79% nos últimos 7 dias.

Outros DEXs baseados em Balancer também sofreram retiradas em massa: PHUX caiu 26,8% em um dia, Jellyverse recuou 15,5% e Gaming DEX despencou 89,3%, com praticamente toda a liquidez evaporada. Até projetos menores não diretamente afetados—como KLEX Finance, Value Liquid e Sobal—tiveram saídas típicas entre 5 e 20%.

Reação em cadeia: Berachain realiza “hard fork” emergencial

A vulnerabilidade do Balancer V2 rapidamente gerou consequências em cascata.

A Berachain, nova blockchain pública construída sobre Cosmos SDK, também foi atingida em poucas horas porque seu DEX nativo, BEX, utilizava contratos Balancer V2. Ao detectar atividade suspeita, a fundação comunicou imediatamente a paralisação completa da rede.

O USDe Tripool do BEX e outros pools de liquidez ficaram sob ameaça, com cerca de $12 milhões em risco. O invasor explorou a mesma falha lógica do Balancer, drenando fundos por meio de múltiplas interações de smart contract. Como alguns ativos eram tokens não nativos, a equipe precisou executar um “hard fork” para reverter os blocos afetados e possibilitar recuperação e rastreamento.

Enquanto isso, diversos protocolos do ecossistema Berachain—including Ethena, Relay e HONEY—adotaram medidas defensivas:

• Bloquearam transferências USDe cross-chain;
• Pausaram depósitos no mercado de empréstimos;
• Suspenderam emissão e resgate de HONEY;
• Alertaram exchanges centralizadas (“CEXs”) para bloquear endereços suspeitos.

A Fundação Berachain declarou que a pausa da rede foi deliberada e que as operações normais serão retomadas em breve. O “exploit” afetou principalmente o three-pool Ethena/Honey em interações complexas de smart contract. Como os ativos afetados não eram apenas BERA, a reversão/executar blocos exigiu mais do que um simples “hard fork”, mantendo a rede pausada até a solução definitiva.

No dia 4 de novembro (UTC), a fundação anunciou que os binários do “hard fork” foram distribuídos e alguns validadores já atualizados. Antes de retomar a produção de blocos, querem garantir que todos os parceiros de infraestrutura central (como oráculos de liquidação de contratos) tenham atualizado seus RPCs, etapa crítica para restaurar a cadeia. Após os serviços centrais estarem prontos, a equipe irá coordenar com bridges, “CEXs”, custodians e outros para restabelecer os demais serviços.

Enquanto isso, um operador de bot MEV da Berachain entrou em contato com a fundação após a paralisação, alegando ter extraído fundos como “white hat” e enviado mensagem on-chain. O operador se dispôs a pré-assinar transações para devolver os fundos assim que o blockchain for retomado.

Segurança ou descentralização?

“Sabemos que é controverso, mas quando cerca de $12 milhões em ativos de usuários estão em risco, proteger os usuários é a única opção”, afirmou Smokey The Bera, cofundador da Berachain, diante das críticas sobre centralização.

Ele reconheceu que a Berachain ainda não atingiu o grau de descentralização da Ethereum, e que a coordenação entre validadores funciona mais como uma central de crise do que como uma rede de consenso automatizada. Na prática, os nós on-chain foram interrompidos em menos de uma hora após o “exploit”, evidenciando a eficiência das decisões centralizadas—mas também revelando a profundidade da centralização de governança.

A reação da comunidade foi imediata e dividida.

Defensores viram responsabilidade pela segurança dos usuários—uma “descentralização realista”. Críticos alegaram que a medida viola o princípio “Code is Law” e compromete a imutabilidade on-chain.

O investigador on-chain ZachXBT comentou: “Com os fundos dos usuários sob risco iminente, foi uma decisão difícil, mas correta.”

Alguns desenvolvedores responderam: “Se uma blockchain pode ser pausada por humanos a qualquer momento, qual a diferença em relação ao sistema financeiro tradicional?”

A sombra do Incidente DAO retorna

A crise fez veteranos relembrarem o hack da DAO da Ethereum em 2016, quando a rede reverteu transações via “hard fork” para recuperar $50 milhões, dividindo a comunidade entre Ethereum (ETH) e Ethereum Classic (ETC).

Nove anos depois, o dilema se repete.

Desta vez, o protagonista é uma blockchain pública jovem—sem o grau necessário de descentralização ou consenso global de uma rede principal.

A intervenção da Berachain evitou prejuízos maiores, mas reacendeu o debate filosófico: será que o blockchain pode ser verdadeiramente autônomo?

De certa forma, esse é o reflexo do ecossistema DeFi: segurança, eficiência e descentralização—o equilíbrio entre os três nunca foi plenamente alcançado.

Quando hackers destroem dezenas de milhões de dólares em segundos, os ideais cedem à realidade.

A equipe do Balancer afirmou que trabalha com pesquisadores de segurança de ponta e divulgará uma análise completa pós-evento, alertando usuários contra mensagens de phishing de falsas equipes de segurança.

A Berachain espera retomar gradualmente a produção de blocos e as transações após o “hard fork”.

Contudo, restaurar a confiança é muito mais complexo do que corrigir código. Para uma nova blockchain pública, pausar a cadeia é uma solução emergencial, mas pode deixar marcas profundas. Usuários vão questionar a descentralização e desenvolvedores podem duvidar da promessa de imutabilidade.

O universo DeFi pode estar redefinindo descentralização—não como laissez-faire total, mas como consenso para o mínimo compromisso possível diante de uma crise.

Nota:

1. Este artigo foi republicado de [Foresight News] e os direitos autorais pertencem ao autor original [ChandlerZ, Foresight News]. Para disputas de republicação, contate a equipe Gate Learn para atendimento imediato.
2. Aviso: As opiniões aqui expressas pertencem exclusivamente ao autor e não constituem aconselhamento de investimento.
3. Outras versões de idioma foram traduzidas pela equipe Gate Learn. Sem menção à Gate, é proibida a cópia, distribuição ou plágio dos artigos traduzidos.