Hack do balanceador revela meses de planejamento por trás do roubo de criptomoedas de US$ 116 milhões

O rastro onchain deixado pelo explorador por trás do hack do Balancer de US$ 116 milhões revelou uma operação metódica e de alto nível que pode estar em andamento há meses.

O invasor executou cada passo com precisão cirúrgica, usando vários depósitos de 0,1 Ether em Tornado Cash para mascarar a origem dos fundos e evitar a identificação.

Os dados onchain indicam meses de planejamento, financiados por meio de transferências furtivas do Tornado Cash.

Analistas de segurança sugerem que a escala da violação e a disciplina operacional do invasor refletem uma sofisticação crescente nas explorações de finanças descentralizadas (DeFi), que se assemelham cada vez mais a campanhas cibernéticas patrocinadas pelo Estado no planejamento e execução.

O padrão furtivo aponta para uma configuração de longo prazo

A Balancer, exchange descentralizada e formadora de mercado automatizada, confirmou a exploração na segunda-feira, relatando uma perda de aproximadamente US$ 116 milhões em vários ativos digitais.

A conta do invasor recebeu fundos por meio de um padrão de pequenos depósitos do Tornado Cash, um protocolo de privacidade frequentemente usado para ocultar as origens dos fundos.

O analista de blockchain Conor Grogan disse em um post X que a conta do explorador foi inicialmente financiada com 100 Ether já mantidos no Tornado Cash, sugerindo que o indivíduo pode ter se envolvido em hacks anteriores.

Grogan observou que os usuários raramente armazenam quantias tão grandes em mixers, apontando para a experiência do invasor e um planejamento cuidadoso.

A Balancer ofereceu ao hacker uma recompensa de 20% de chapéu branco se os fundos forem devolvidos integralmente, excluindo a recompensa, até quarta-feira.

A plataforma disse que está colaborando com pesquisadores de segurança para produzir uma autópsia detalhada do incidente.

Os analistas chamam isso de exploração complexa de DeFi

De acordo com a empresa de segurança blockchain Cyvers, o exploit do Balancer representa um dos ataques mais complexos vistos este ano.

Os invasores conseguiram contornar as camadas de controle de acesso e manipular diretamente os saldos de ativos, expondo uma fraqueza crítica na governança e não na lógica central do contrato inteligente do Balancer.

Deddy Lavid, cofundador e executivo-chefe da Cyvers, disse que o evento ressalta os limites das auditorias de código estático.

Ele argumentou que o monitoramento contínuo em tempo real das transações é essencial para detectar anomalias antes que os fundos sejam drenados.

Especialistas do setor acreditam que essa mudança para a vigilância persistente agora é inevitável, pois as plataformas DeFi enfrentam invasores que testam as defesas com meses de antecedência.

Paralelos com a atividade do Grupo Lazarus

A violação do Balancer atraiu comparações com o norte-coreano Lazarus Group, cujos padrões de atividade mostram níveis semelhantes de preparação.

Os dados da Chainalysis indicam que as transações ilícitas vinculadas a hackers norte-coreanos caíram drasticamente após julho de 2024, após um aumento no início daquele ano. Analistas interpretaram a calmaria como uma pausa estratégica para se reagrupar e identificar novos alvos.

A desaceleração precedeu o hack de US$ 1,4 bilhão da Bybit, que levou apenas 10 dias para ser lavado por meio do protocolo descentralizado de cadeia cruzada THORChain.

A velocidade e a coordenação dessa operação sugerem o uso de automação sofisticada e pipelines de lavagem pré-planejados, técnicas que agora aparecem em explorações independentes como o caso Balancer.

DeFi enfrenta uma ameaça crescente à segurança

O hack do Balancer reflete uma era emergente de roubo cibernético profissionalizado em finanças descentralizadas.

Ao contrário de puxões de tapete oportunistas ou golpes de phishing, as explorações modernas dependem cada vez mais de cadeias de financiamento disciplinadas, ofuscação automatizada e vetores de ataque direcionados a mecanismos de governança em vez de falhas técnicas.

Os investigadores acreditam que o incidente do Balancer demonstra como os invasores estão evoluindo mais rápido do que os modelos de segurança atuais do DeFi.

À medida que o setor se expande, especialistas alertam que a distinção entre sindicatos criminosos e hackers ligados ao Estado está se confundindo, com ambos os grupos compartilhando ferramentas, infraestrutura e táticas.

A investigação do Balancer continua, com o projeto pedindo às exchanges e provedores de carteira que monitorem entradas suspeitas.

O resultado pode moldar como a indústria DeFi repensa as estruturas de segurança, auditorias e mecanismos de seguro nos próximos anos.