O incidente, detectado pela primeira vez por volta das 7:48 UTC em 3 de novembro de 2025, renovou o escrutínio sobre os designs de pools composáveis após um grande hack no Balancer que drenou fundos através de várias cadeias, destacando riscos operacionais persistentes no mundo cripto.
Summary
Quais são os detalhes e cronograma do exploit do Balancer V2?
Em 3 de novembro de 2025, investigadores sinalizaram saídas anormais dos Balancer V2 Composable Stable Pools.
Monitoramento inicial por detetives on-chain como PeckShieldAlert e Lookonchain detectou grandes e rápidas trocas; relatórios agregados posteriores estimaram a perda em cerca de $116,6 milhões através de Ethereum, Polygon e Base. Nesse contexto, as equipes de segurança agiram rapidamente para limitar danos adicionais.
As equipes pausaram os pools afetados e Balancer publicou um aviso on-chain oferecendo uma recompensa white-hat de 20% para devoluções completas dentro de um período limitado.
Curve Finance e equipes de forense terceirizadas rastrearam os movimentos dos fundos enquanto os respondedores coordenavam congelamentos e alertas; essas etapas visavam aprimorar o rastreamento e a cooperação com exchanges.
Preserve IDs de transações e notas on-chain ao relatar para equipes forenses; eles aceleram o rastreamento e a cooperação com exchanges.
O exploit foi detectado às 7:48 UTC e escalou para um incidente cross-chain, com estimativas iniciais on-chain confirmadas em aproximadamente $116,6M.
Como a Curve Finance respondeu e qual é a resposta da Curve Finance?
Curve Finance publicou orientações para desenvolvedores após o roubo, alertando que a composabilidade pode amplificar vulnerabilidades e instando as equipes a reavaliar os primitivos agrupados.
Deve-se notar que a plataforma recomendou mudanças nos controles de admissão e na lógica de contabilidade de tokens como prioridades imediatas.
Em um post resumido vinculado por investigadores, a Curve pediu auditorias imediatas da lógica de tokens de pool e sinalizou interações que assumem modelos de preços invariantes.
Auditores independentes foram instados a considerar limites de composabilidade e suposições de contabilidade cross-pool durante as revisões; a orientação reformulou o evento do Balancer como uma demonstração prática de risco sistêmico.
A resposta da Curve reformula o exploit como uma lição de design de código e integração, pressionando as equipes de protocolo a fortalecer suposições de composabilidade e ampliar a cobertura de auditoria.
Quais opções de recuperação existem e como recuperar ativos cripto roubados?
O passo imediato de recuperação do Balancer foi um apelo público on-chain e uma recompensa condicional: a equipe ofereceu até 20% dos fundos recuperados para devolvê-los dentro do prazo, e sinalizou coordenação com forenses de blockchain e autoridades legais.
Os investigadores recomendaram monitorar fluxos de mixers e colaborar com grandes exchanges centralizadas para congelar depósitos associados.
Passos práticos de recuperação incluem marcação forense rápida, notificações de exchanges e escalonamento legal onde houver alcance jurisdicional. Várias equipes relataram recuperações parciais rastreando e negociando devoluções; os resultados variam e dependem da cooperação oportuna das exchanges e mitigações de contratos inteligentes.
Dica: prepare um kit de resposta rápida que reúna instantâneos de transações, endereços de contratos afetados e contatos legais para acelerar pedidos de remoção de exchanges. Em resumo: a recuperação depende de rastreamento rápido, ação das exchanges e — quando oferecido — recompensas white-hat para incentivar a devolução.
Quais práticas recomendadas de segurança DeFi e lista de verificação de auditoria de contratos inteligentes as equipes devem aplicar?
Os desenvolvedores devem expandir as auditorias tradicionais para incluir cenários de composabilidade, interações multi-pool e manipulações de oráculos de preços. Nesse contexto, auditores e engenheiros devem simular sequências de chamadas que cadeias de protocolos poderiam executar em produção.
Uma lista de verificação prática de auditoria de contratos inteligentes deve avaliar casos extremos de mint/burn de tokens de pool, suposições invariantes e ganchos sem permissão que permitem trocas ou resgates inesperados.
As equipes de segurança também devem simular arbitragem cross-pool e testar interações sob mudanças extremas de liquidez, integrando ferramentas de fuzzing de terceiros que modelam sequências multi-pool.
Adicione testes explícitos para underflow/overflow com tokens de pool fracionários e incorpore casos de estresse de composabilidade em testes contínuos. Em resumo: adote uma abordagem em camadas — auditorias rigorosas, testes de estresse de composabilidade e prontidão operacional — para reduzir a chance de que um único bug de contrato cause perdas multi-chain.
Definições rápidas
- Composable Stable Pools: pools projetados para serem usados por outros protocolos como ativos ou colateral.
- On‑chain forensic tag: um rótulo de blockchain aplicado a endereços suspeitos para auxiliar no rastreamento e congelamento de exchanges.
- White‑hat bounty: uma oferta para devolver fundos roubados em troca de uma recompensa percentual e considerações de imunidade.
Quais são as implicações imediatas para a gestão de risco em finanças descentralizadas?
O exploit destaca como suposições de design propagam risco através de protocolos em múltiplas cadeias; mesmo pools auditados podem ser explorados em sequências novas por atacantes.
Deve-se notar que operadores de cadeias podem recorrer a medidas de emergência para conter a contaminação.
Validadores da Berachain pausaram sua rede para conter atividades relacionadas, ilustrando como paradas de emergência são usadas como medida paliativa.
Equipes forenses on-chain estão coordenando marcações de clusters e alcance de exchanges para interromper saques, enquanto mesas de custódia e exchanges revisam o monitoramento de depósitos para bloquear fluxos contaminados.
Líderes da indústria dizem que o incidente acelerará atualizações nos manuais operacionais, incluindo caminhos de escalonamento mais rápidos para exchanges e procedimentos de divulgação coordenada.
Um líder de segurança sênior disse aos investigadores que “protocolos devem testar interações, não apenas contratos”, um ponto ecoado em debriefings pós-incidente e reportagens por veículos de comunicação como CoinDesk.
Curve Finance também alertou desenvolvedores para “verificar seus cálculos, especialmente em lugares ‘simples’, ser paranoico; fazer escolhas de design que sejam muito tolerantes a erros”, destacando a lição prática de engenharia.
O incidente é um lembrete de que a gestão de risco em finanças descentralizadas deve levar em conta comportamentos emergentes decorrentes de interações de protocolos e exposições multi-chain.
