O protocolo DeFi Balanceadorpublicou um relatório preliminar sobre o ataque ocorrido em 3 de novembro, que drenou cerca de R$ 680 milhões de suas piscinas em várias redes, incluindo Ethereum, Base, Avalanche, Arbitrum, Optimism, Gnosis, Polygon, Berachain e Sonic.
De acordo com a Balancer, seu parceiro de segurança Hypernative detectou uma atividade suspeita na manhã de segunda-feira (3). Vários colaboradores e especialistas em segurança, como SEAL 911, BitFinding e StakeWise, foram então contatados para ajudar a conter o ataque.
Sem relatório preliminar, um Balanceador atribuiu a exploração a um erro de arredondamento na função de dimensionamento para trocas EXACT_OUT dentro do recurso batchSwap do cofre v2. Essa função permite que os usuários combinem várias transações de troca em uma única transação para economizar taxas de gás.
Os invasores exploraram a forma como a liquidação diferida foi rompida em pools compostos, o que permitiu que a liquidez caísse abaixo dos limites mínimos, explicou a equipe. O bug ocorreu quando fatores de escala não inteiros fizeram com que o sistema arredondasse para baixo durante cálculos específicos, criando pequenas discrepâncias que o invasor aproveitou para manipular saldos e drenar valor.
Em muitos casos, os fundos foram primeiro redirecionados para os saldos internos do Balancer Vault antes de serem retirados por meio de transações subsequentes. O bug afetou principalmente os pools Composable Stable v5 com janelas de pausa expiradas, enquanto a automação de emergência do Hypernative pausou automaticamente os pools v6.
“O incidente foi limitado aos Composable Stable Pools na Balancer v2 e seus forks em outras cadeias, como BEX e Beets”, escreveu o Balancer. “A Balancer v3 e todos os outros tipos de pool permanecem inalterados.”
Um Balanceador desativou a fábrica CSPv6 para evitar a criação de novas piscinas vulneráveis e interrompeu os medidores de liquidez para as piscinas afetadas para interromper novas emissões. Além disso, a equipe habilitou a saída de liquidez dos pools pausados para permitir saques de seguros.
Um relatório final, incluindo números confirmados de perdas e recuperações, é esperado “assim que todas as validações dos parceiros foram concluídos”, de acordo com a atualização mais recente do Balancer.
Recuperação de outras redes
A Balancer disse que o ataque se estendeu por várias redes e forks, incluindo BEX na Berachain, Beets na Sonic e implementações baseadas em Gnosis. No entanto, os parceiros do ecossistema iniciaram ações de emergência para conter as consequências.
A StakeWise DAO recuperou aproximadamente US$ 19 milhões em osETH e US$ 1,7 milhão em osGNO, cerca de 73,5% do osETH roubados. Os validadores da Berachain interromperam a rede para realizar um hard fork de emergência para corrigir a vulnerabilidade da versão 2 do BEX, que foi concluída em 4 de novembro.
Além disso, a Sonic Labs congelou endereços de supostos invasores, restringindo a movimentação de fundos ligados à sua bifurcação do Balancer. A Gnosis restringiu temporariamente a atividade da ponte para evitar a propagação entre cadeias, enquanto o Monerium congelou 1,3 milhão de EURe no cofre afetado.
Além disso, os bots BitFinding e Base MEV recuperaram quantias menores — cerca de US$ 750.000 no total — e as devolveram ao Balancer DAO. A equipe acrescentou que uma parte dos ativos afetados foi recuperada ou congelada e que uma contabilidade final verificada será publicada assim que todos os parceiros concluírem a reconciliação on-chain.
Por que apenas comprar quando você pode multiplicar? Invista com o MB e ganhe até 11% de cashback em Bitcoin. Abra sua conta e aproveite o Super Cashback!
Fonteportaldobitcoin
