O ataque que drenou cerca de US$ 116 milhões (R$ 688 milhões) do protocolo Balancer nesta segunda-feira (3) pode ter sido planejado por meses, segundo uma nova análise on-chain. A investigação mostra que o invasor utilizou depósitos fracionados de 0,1 ETH via Tornado Cash — um mixer de criptomoedas — para mascarar a origem dos fundos e dificultar a rastreabilidade.

De acordo com Conor Grogan, diretor da Coinbase, o endereço do hacker possuía ao menos 100 ETH armazenados em contratos do Tornado Cash, o que indica possível envolvimento em ataques anteriores.

“O hacker parece experiente. Seeded a conta com 100 ETH e depósitos de 0,1 ETH via Tornado Cash, sem vazamentos de segurança operacional. Como não houve depósitos recentes desse tipo, é provável que os fundos já estivessem guardados desde exploits antigos”, afirmou Grogan.

O uso estratégico de mixers e a ausência de rastros diretos sugerem que o ataque foi conduzido por um ator altamente profissional, possivelmente com experiência prévia em fraudes complexas de blockchain.

Balancer oferece recompensa para devolução dos fundos

A equipe do Balancer confirmou o incidente e ofereceu uma recompensa de 20% (white hat bounty) caso o invasor devolva o valor integral. Em comunicado oficial, a DEX afirmou estar trabalhando com especialistas em segurança para concluir uma análise técnica e publicar um relatório pós-morte detalhado.

Segundo Deddy Lavid, CEO da empresa de cibersegurança Cyvers, este é “um dos ataques mais sofisticados do ano”.

“Os atacantes contornaram as camadas de controle de acesso para manipular saldos de ativos diretamente — uma falha crítica na governança operacional, e não na lógica do protocolo”, disse Lavid.

Ele destacou ainda que auditorias de código estáticas já não são suficientes, defendendo o uso de monitoramento contínuo e em tempo real para detectar fluxos suspeitos antes que fundos sejam drenados.

Padrões lembram ataques da Lazarus Group

O método de preparação lembra o modo de operação do Lazarus Group, coletivo de hackers ligados à Coreia do Norte, conhecido por meses de inatividade antes de grandes golpes — como o hack de US$ 1,4 bilhão da Bybit. Segundo a Chainalysis, o grupo reduziu drasticamente sua atividade após julho de 2024, possivelmente para se reorganizar e selecionar novos alvos.

Analistas acreditam que os hackers do Balancer podem ter adotado estratégias semelhantes, planejando o ataque com antecedência para não deixar rastros on-chain e garantir a liquidez das movimentações em múltiplas redes.

Fonte: Livecoins / Cointelegraph / Chainalysis / Conor Grogan (Coinbase)

🎓 Aproveite a Black Friday do curso Soberania Cripto, criado por André Costa, e aprenda tudo sobre blockchain, autocustódia, dolarização e liberdade financeira.

💰 Somente neste mês, por R$ 99.

👉 Acesse oandrecosta.com.br e garanta sua vaga antes que acabe.