O Erro de Arredondamento de $128M: Como um Bug Matemático de Menos de um Centavo Drenou o AMM Mais Antigo de DeFi em Nove Chains
Oito wei. Isso é aproximadamente 0,000000000000000008 de um token — uma quantidade tão pequena que não tem valor monetário significativo. No entanto, em 3 de novembro de 2025, um invasor transformou erros de arredondamento nessa escala em US$ 128 milhões em ativos roubados, drenando os Composable Stable Pools da Balancer em nove blockchains em menos de trinta minutos.
A exploração da Balancer V2 é agora a maior exploração DeFi de vulnerabilidade única e multi-chain da história. Ela eliminou 52% do valor total bloqueado da Balancer da noite para o dia, sobreviveu a mais de dez auditorias de segurança das principais empresas do setor e forçou uma rede — a Berachain — a executar um hard fork de emergência apenas para recuperar os fundos. A vulnerabilidade? Uma única linha de código que arredondava na direção errada.
Como os Pools da Balancer Funcionam — e Onde Eles Quebraram
A Balancer V2 utiliza um conceito emprestado do modelo StableSwap da Curve: uma invariante matemática chamada D que representa o valor total bloqueado em um pool. Toda vez que um usuário troca tokens, o protocolo recalcula D para garantir que o pool permaneça equilibrado. O preço dos Balancer Pool Tokens (BPT) — os tokens LP que os usuários recebem ao depositar liquidez — é derivado diretamente desta invariante: preço BPT = D / totalSupply.
Antes de calcular D, o protocolo deve normalizar os saldos dos tokens para uma precisão comum usando funções de escalonamento. É aqui que residia a falha fatal.
A função _upscaleArray usava mulDown (arredondar para baixo) ao converter saldos brutos de tokens em valores escalonados. Para saldos de tamanho normal — milhares ou milhões de tokens — arredondar para baixo por uma fração de um wei é irrelevante. Mas quando o saldo de um token é levado ao limite de apenas 8–9 wei, a divisão de inteiros do Solidity transforma esse minúsculo erro de arredondamento em uma distorção relativa massiva.
A 8 wei, arredondar para baixo mesmo 1 wei representa uma perda de precisão de 12,5%. Insira esse saldo distorcido no cálculo da invariante, e D cai. Quando D cai, o preço do BPT cai. Quando o preço do BPT cai artificialmente, um invasor pode comprar barato e resgatar pelo valor total.
O Ataque: 65 Micro-Swaps em uma Única Transação
O sistema de monitoramento de blockchain da Check Point Research sinalizou a exploração às 07:46 UTC em 3 de novembro de 2025. Naquela hora, o contrato inteligente do invasor já estava executando uma sequência devastadora.
O ataque desenrolou-se em três estágios, todos compactados em uma única transação batchSwap contendo 65 operações de troca:
Estágio 1 — Empurrar até o limite. O invasor trocou grandes quantidades de BPT por tokens subjacentes, drenando deliberadamente o saldo de um token no pool até o limite crítico de 8–9 wei. Com este saldo, cada operação subsequente envolvendo esse token acionaria a perda máxima de precisão.
Estágio 2 — Compor o erro. Com um token fixado no limite de arredondamento, o invasor executou trocas pequenas e rápidas. Cada troca acionava a função _upscaleArray para arredondar para baixo durante o escalonamento, fazendo com que a invariante D fosse sistematicamente subestimada. A perda de precisão de uma única troca era insignificante. Mas em 65 operações dentro da mesma chamada batchSwap, as perdas acumularam-se drasticamente — o suficiente para suprimir artificialmente o preço do BPT bem abaixo de seu valor real.
Estágio 3 — Comprar na baixa, resgatar na alta. O invasor comprou BPT ao preço suprimido e, em seguida, resgatou imediatamente esses tokens pelos ativos subjacentes ao valor total. A diferença entre o preço manipulado e o preço real era lucro puro.
Toda a sequência — da primeira troca à drenagem final — levou menos de trinta minutos. O invasor implantou contratos inteligentes personalizados com a lógica de exploração integrada no construtor, o que significa que o ataque foi executado automaticamente após a implantação, sem necessidade de interação adicional.
Nove Chains, Um Bug
O que elevou isso de uma exploração séria para uma histórica foi o raio de alcance. O mesmo código vulnerável rodava em todas as redes onde os Composable Stable Pools da Balancer V2 foram implantados:
- Ethereum — os maiores pools e as perdas mais pesadas
- Arbitrum — liquidez significativa drenada
- Base — L2 da Coinbase atingida
- Optimism — pools da OP Stack esvaziados
- Polygon — pools de longa data visados
- Avalanche — pools da C-Chain comprometidos
- Gnosis — menor, mas ainda afetada
- Berachain — rede recém-lançada atingida com força
- Sonic — a implantação mais recente, também vulnerável
O invasor não precisou de nove explorações diferentes. Precisou de uma — implantada nove vezes. A base de código compartilhada da Balancer, que permitia uma implantação multi-chain eficiente, tornou-se o vetor para a destruição multi-chain simultânea.
Importante notar que outros tipos de pool da Balancer (Weighted Pools, Managed Pools) e o protocolo V3 mais recente não foram afetados. O bug era específico para a matemática do Composable Stable Pool.
O Colapso do TVL
Antes da exploração, a Balancer V2 detinha US 214 milhões — uma queda livre de 52%. À medida que as notícias se espalhavam e os provedores de liquidez corriam para sacar de pools não afetados por cautela, o TVL continuou deslizando para cerca de US$ 182 milhões nas semanas seguintes.
Para um protocolo que era um pilar do DeFi desde 2020, a queda foi devastadora. A Balancer superou o mercado de baixa de 2022, o colapso da Terra e a implosão da FTX. Um erro de arredondamento fez o que catástrofes macro não conseguiram.
Recuperação: Hard Forks, White Hats e $ 33 M Resgatados
O rescaldo produziu um dos esforços de recuperação mais dramáticos na história das DeFi.
Hard fork de emergência da Berachain. A rede recém - lançada tomou a ação mais agressiva: os validadores coordenaram um hard fork de emergência que congelou os fundos do invasor on - chain. Um operador que se identificou como white - hat devolveu os $ 12,8 milhões em ativos da Berachain roubados, permitindo a recuperação total para os usuários afetados nessa rede.
Recuperação direta da StakeWise. O protocolo de staking líquido executou uma chamada de contrato através de sua multisig de emergência para recuperar aproximadamente 5.041 osETH ($ 19,3 milhões) e 13.495 osGNO ($ 1,7 milhão) — representando 73,5 % de seu osETH roubado.
Esforços de white - hats da comunidade. Recuperações adicionais elevaram o total resgatado para aproximadamente $ 33 milhões, reduzindo as perdas líquidas para cerca de $ 95 milhões.
Os fundos restantes — principalmente no Ethereum e Arbitrum — foram convertidos para ETH pelo invasor e permanecem em carteiras identificadas. Se eles serão recuperados através de negociação, ação legal ou ofertas de bug bounty permanece incerto.
Dez Auditorias, Zero Capturas
A verdade mais desconfortável sobre o exploit da Balancer é esta: o código tinha sido auditado mais de dez vezes pelas empresas de segurança mais respeitadas do setor, incluindo OpenZeppelin, Trail of Bits e Certora.
Em 2022, a Certora verificou formalmente as principais propriedades de solvência na Balancer V2. Mas essas provas formais especificamente não cobriram os riscos de direção de arredondamento nas funções de escalonamento. As propriedades verificadas provaram que as pools não poderiam ser drenadas sob condições normais — mas "condições normais" não levaram em conta um invasor empurrando deliberadamente um saldo de token para 8 wei.
A Trail of Bits observou após o exploit que os problemas de arredondamento tinham sido sinalizados em auditorias anteriores, mas não foram priorizados como de alto risco. O raciocínio era compreensível na época: erros de arredondamento individuais produzem perdas insignificantes. Ninguém modelou o que acontece quando 65 deles se compõem em uma única transação atômica.
Isso reflete um padrão que a indústria DeFi continua a reaprender. As auditorias são revisões de escopo definido — instantâneos de um código específico em momentos específicos. Elas testam padrões de ataque conhecidos e verificam propriedades específicas. Elas não são garantias. Quando os protocolos evoluem, quando novos tipos de pools são adicionados, quando o código é implantado em novas redes, a lacuna entre o que foi auditado e o que está rodando em produção cresce silenciosamente.
A Tese "A Especificação é a Lei"
O exploit da Balancer tornou - se um estudo de caso para defensores da especificação formal — a prática de escrever definições matemáticas de como um protocolo deve se comportar antes de escrever o próprio código.
O argumento, defendido por empresas como a16z e Certora, é direto: se a Balancer tivesse mantido uma especificação formal declarando que "o arredondamento nunca deve fazer com que D diminua mais do que X % por operação" ou "o erro de arredondamento cumulativo em N swaps deve permanecer limitado", a vulnerabilidade teria sido detectada durante a verificação em vez de na produção.
O invariante canônico usado na maioria das auditorias DeFi — "o arredondamento deve favorecer o protocolo" — provou - se insuficiente. Ele captura a direção do arredondamento, mas não a magnitude do erro acumulado em fluxos de múltiplas operações. Uma abordagem baseada primeiro na especificação forçaria os projetistas de protocolos a definir e defender cada invariante matemático em que seu sistema se baseia, incluindo casos extremos em faixas de saldo extremas.
Se essa abordagem escala para o ritmo do desenvolvimento DeFi é uma questão em aberto. Escrever e manter especificações formais requer um investimento significativo. Mas, como demonstrou o exploit da Balancer, o custo de não o fazer pode ser de nove dígitos.
O Que Isso Significa para a Segurança DeFi
O exploit da Balancer cristaliza várias tendências que estão remodelando a forma como a indústria pensa sobre a segurança de protocolos:
Bases de código compartilhadas amplificam o risco. A implantação multi - chain é eficiente, mas significa que uma única vulnerabilidade se torna uma catástrofe multi - chain. Protocolos que se implantam em várias redes precisam de monitoramento específico para cada rede e a capacidade de pausar implantações individuais de forma independente.
A aritmética de precisão é uma preocupação de segurança de primeira classe. Erros de arredondamento não são pequenos problemas de contabilidade. Em protocolos que gerenciam bilhões em TVL, perdas de precisão de menos de um centavo podem ser transformadas em armas. Cada função de escalonamento, normalização e conversão precisa de uma análise explícita da direção do arredondamento.
Operações em lote precisam de garantias de perda limitada. A função batchSwap foi projetada para eficiência de gás — permitindo múltiplas trocas em uma única transação. Mas ela também permitiu que os erros se acumulassem sem validação intermediária. Futuras implementações devem incluir verificações de invariantes entre as operações em lote, não apenas no início e no fim.
A segurança contínua supera auditorias pontuais. O post - mortem da Trail of Bits enfatizou que a indústria precisa passar de compromissos de auditoria isolados para parcerias de segurança contínuas — incluindo fuzzing contínuo, verificação formal de bases de código em evolução e monitoramento em tempo real com capacidades de pausa automatizada.
A infraestrutura de recuperação importa. A capacidade da Berachain de realizar um hard - fork e congelar fundos, e a recuperação por multisig de emergência da StakeWise, economizaram $ 33 milhões. Protocolos e redes que investem em infraestrutura de resposta a incidentes antes de precisarem dela estão melhor posicionados quando o inevitável exploit acontece.
A Questão do Balancer V3
Um ponto positivo: a Certora confirmou que a arquitetura do Balancer V3 não é afetada por esta vulnerabilidade. O redesenho do V3 aborda as inconsistências de escala que permitiram o exploit, sugerindo que a equipe do Balancer já havia identificado o tratamento de precisão como uma área para melhoria — mesmo que o vetor de ataque específico não tivesse sido antecipado.
Para provedores de liquidez que consideram um retorno ao Balancer, a adoção do V3 torna-se a métrica crítica. A viabilidade de longo prazo do protocolo depende de sua capacidade de migrar a liquidez restante do V2 para a arquitetura mais segura antes que a confiança se deteriore ainda mais.
A Li�ção que se Repete
O setor de DeFi já perdeu mais de $ 2 bilhões para ataques de flash loan e explorações matemáticas desde 2020. O exploit do Balancer é a ilustração mais nítida até agora de um padrão que a indústria parece não conseguir quebrar: pequenos bugs aritméticos, invisíveis para auditores e negligenciados por anos, tornam-se desastres de nove dígitos quando um invasor encontra a sequência correta de operações para potencializá-los.
Oito wei de erro de arredondamento. $ 128 milhões roubados. Nove redes comprometidas. Dez auditorias contornadas. Trinta minutos do primeiro swap até a última drenagem.
Os números contam uma história que a indústria DeFi não pode mais ignorar: em um sistema onde o código é a lei, cada decisão de arredondamento é uma decisão de segurança.
A BlockEden.xyz fornece infraestrutura de RPC e API de nível empresarial em múltiplas redes blockchain, com monitoramento integrado projetado para detectar atividades on-chain anômalas. À medida que os protocolos DeFi enfrentam desafios de segurança cross-chain, uma infraestrutura confiável com observabilidade em tempo real torna-se essencial. Explore nosso marketplace de APIs para construir sobre fundações projetadas para um desenvolvimento que prioriza a segurança.