Uma vulnerabilidade crítica no protocolo da exchange descentralizada Balancer permitiu que atacantes extraíssem mais de US$120 milhões explorando um erro de arredondamento no mecanismo de swap em lote. A análise indica que a lógica falha na função de swap EXACT_OUT aumentou e reduziu inadequadamente as quantias de token ao longo de várias etapas, criando desequilíbrios de saldo minúsculos que se acumularam com transações repetidas. Essas discrepâncias, semelhantes a retirar frações de um centavo, foram drenadas sistematicamente pelo hacker até que as condições acionassem salvaguardas de liquidez insuficientes.
O exploit visou pools contendo tokens com diferentes precisões decimais, um cenário que passou despercebido apesar de várias auditorias de segurança. Durante negociações em lote, o código do Balancer converteu as quantias de entrada para a representação de 18 casas decimais antes de executar os cálculos de preço, e depois retornou os resultados para as casas decimais nativas dos tokens. Em alguns casos, a etapa final de reescala arredondou os valores para cima, concedendo ativos excedentes ao iniciador da swap. Ao orquestrar micro-swaps de alta frequência, o atacante gerou ganhos cumulativos que ultrapassaram os limites de slippage on-chain.
Após a descoberta, a equipe do Balancer divulgou um relatório preliminar e coordenou com validadores da blockchain e operadores de nós para implementar medidas emergenciais. No Polygon e Sonic, os órgãos de governança aprovaram módulos de congelamento para bloquear contratos de pools afetados e interceptar transferências de saída. Partícipes da Berachain aprovaram um fork rígido de emergência para reverter a janela de exploração e permitir a restituição para provedores de liquidez. Essas intervenções destacam tensões em andamento entre princípios de livro-razão imutável e resposta rápida a crises em ecossistemas DeFi.
O incidente reacendeu debates sobre a centralização dos controles de segurança, com críticos argumentando que funções de congelamento e forks rígidos contradizem a ética de “o código é lei”. Defensores contrapõem que ferramentas de governança adaptativas são necessárias para proteger os usuários em ambientes de alto risco. A vulnerabilidade do Balancer ressalta a importância de verificações rigorosas no manuseio de decimais e destaca vetores de ataque em evolução que exploram casos marginais matemáticos. Os desenvolvedores de protocolo estão revisitando estruturas de auditoria e integrando testes automatizados de fuzz para operações decimais, a fim de evitar exploits semelhantes em futuras versões.
Comentários (0)