BCGAME - Bônus diário grátis de 5BTC!- Erro de arredondamento como causa-raiz do exploit em pools CSP
- Exploração atingiu múltiplas redes e forks do protocolo Balancer
- Medidas de mitigação incluem desativação de fábrica e saques seguros
O protocolo de finanças descentralizadas Balancer divulgou seu relatório preliminar sobre o ataque sofrido em 3 de novembro, que resultou no vazamento de ativos das Composable Stable Pools (CSPs) por várias redes. A empresa apontou uma falha de arredondamento em sua lógica de troca como o vetor inicial da exploração.
No documento, a Balancer informa que o incidente afetou os pools com arquitetura Composable Stable v2 e seus forks, estando “limitado aos Composable Stable Pools na Balancer v2 e seus forks em outras blockchains, como BEX e Beets”. A versão Balancer v3 e outros tipos de pools foram declarados como não impactados.
— Balancer (@Balancer) November 5, 2025
O exploit ocorreu quando uma função de escalonamento para swaps do tipo EXACT_OUT, dentro do recurso batchSwap do Vault v2, passou a arredondar para baixo em cálculos com fatores de escala não inteiros. Essa inconsistencia permitiu que atacantes manipulassem saldos e explorassem valores residuais até drenar liquidez dos pools. A forma como a liquidação diferida era implementada em pools compostos também contribuiu para que a liquidez caísse abaixo dos limites mínimos.
Segundo a investigação, fundos eram primeiramente redirecionados para saldos internos do Vault antes de serem retirados em transações subsequentes. A perda estimada começou em cerca de US$ 70 milhões, mas nas horas seguintes ultrapassou os US$ 128 milhões, conforme firmas de análise on-chain reportaram.
O ataque cobriu múltiplas redes, incluindo ETH, Polygon, Base, Arbitrum, Avalanche, Optimism, Gnosis, Berachain e Sonic, e também impactou projetos derivados dessas implementações. Como resposta, várias equipes white-hat e parceiros de segurança colaboraram na contenção, recuperação e congelamento de ativos. Por exemplo, StakeWise recuperou cerca de US$ 19 milhões em osETH e US$ 1,7 milhão em osGNO.
Entre as medidas tomadas, a Balancer desativou a fábrica CSPv6 para evitar a criação de novos pools vulneráveis, interrompeu a emissão de liquidez nos pools afetados e permitiu saques seguros dos pools pausados. O protocolo também ressaltou que, embora parte dos valores tenha sido recuperada ou congelada, os montantes finais de perdas ainda não foram confirmado até que uma verificação independente seja concluída.
Desde então, o incidente reacendeu o debate sobre a robustez das operações em múltiplas cadeias e a segurança dos mecânicos de liquidez em protocolos DeFi, especialmente aqueles que empregam modelos de pools compostos e funções avançadas de swap.
