Como o Balancer V3 transforma uma exploração crítica numa nova norma para a segurança de AMM

Após uma exploração em Pools Estáveis Componíveis em novembro, a equipa do Balancer v3 utilizou o incidente para reformular as defesas e fortalecer a segurança a nível de protocolo.

De uma exploração a 3 de novembro para um modelo de segurança proativo

No dia 3 de novembro, uma exploração afetou as Pools Estáveis Componíveis na V2, levando o Balancer a agir de forma decisiva. A V3 permaneceu completamente imune, mas a equipa viu uma oportunidade de reforçar o seu modelo de segurança e preparar o protocolo para classes inteiras de ataques.

A exploração do CSP revelou um vetor de ataque que existia há mais de quatro anos antes de alguém o ter notado. Além disso, fraquezas semelhantes foram posteriormente exploradas em outros protocolos, demonstrando que o padrão tinha passado quase despercebido na indústria, obrigando a uma revisão ampla das suposições de defesa.

A segurança tradicional tende a ser reativa: encontrar uma vulnerabilidade, corrigi-la e seguir em frente. No entanto, esta abordagem deixa vulnerabilidades desconhecidas intactas, incluindo vetores de ataque que podem permanecer ocultos por mais quatro anos até serem descobertos por adversários.

Projetar a V3 para eliminar classes inteiras de explorações

A equipa concluiu que a melhor resposta era remover categorias inteiras de potenciais explorações, restringindo o protocolo a casos de uso legítimos e economicamente relevantes. Se uma operação específica não tiver uma razão sólida para existir, não deve ser possível na cadeia.

A arquitetura da V3 já reflete esta filosofia. A sua arquitetura centrada na vault centraliza os saldos de tokens, a contabilidade de taxas e a gestão de BPT numa única sistema altamente auditado. Contudo, estas escolhas também eliminam muitas superfícies de ataque que poderiam ser exploradas por atores hostis.

Graças a este design, a vulnerabilidade de arredondamento específica que permitiu a exploração de 3 de novembro não existe na V3. O resultado é claro: nenhuma pool V3 foi afetada pelo incidente, apesar da gravidade do ataque à infraestrutura V2.

Reforçar o Balancer V3 através de uma avaliação de segurança aprofundada

Mesmo com um histórico limpo, a equipa foi mais longe. Em colaboração com a Certora, o Balancer encomendou uma avaliação extensa de muitos contratos inteligentes da V3, com o objetivo de detectar e eliminar qualquer vetor de ataque possível antes que pudesse ser utilizado por atores maliciosos.

A auditoria de segurança da V3 realizada pela Certora não revelou vulnerabilidades nos contratos analisados. Além disso, os resultados destacaram como a arquitetura simplificada, que transfere a complexidade das pools individuais para a vault, produz um protocolo mais seguro por design.

Para leitores interessados em nuances técnicas e métodos formais, as conclusões completas estão disponíveis no relatório completo da Certora sobre a avaliação de segurança. No entanto, o resultado principal é claro: as escolhas arquitetónicas são validadas por uma revisão externa rigorosa.

Novas salvaguardas para pools ponderadas

Para além da auditoria bem-sucedida, o Balancer implementou salvaguardas adicionais de segurança em pools ponderados e estáveis. Estas proteções restringem ainda mais o comportamento do protocolo a cenários económicos válidos e ajudam a neutralizar padrões de ataque conhecidos ao nível da pool.

Em pools ponderados na V3, foram introduzidas duas salvaguardas específicas para remover casos de uso maliciosos ou patológicos. Juntas, reforçam o objetivo central de limitar operações a condições de troca realistas e relevantes.

Limites mínimos de saldo de tokens

A primeira medida é um sistema de limites mínimos de saldo de tokens que se aplica de forma consistente a todas as configurações de decimais de tokens. Como atingir saldos extremamente baixos geralmente requer trocas muito grandes, este mecanismo limita indiretamente o dimensão máxima efetiva das trocas.

Assim, a atividade na pool fica restrita a uma gama economicamente significativa. Além disso, operações que poderiam levar os saldos a extremos irreais deixam de ser permitidas, encerrando cenários que poderiam ser usados para manipular cálculos ou explorar bugs de limites.

Arredondamento aprimorado de saldos na vault

A segunda salvaguarda é um arredondamento aprimorado de saldos dentro da vault e da matemática das pools. No modelo anterior, certas operações de liquidez na vault passavam uma direção de arredondamento necessária para as pools quando era preciso um comportamento de arredondamento específico.

Na V3, as pools sempre realizam o arredondamento corretamente. Em particular, a lógica de arredondamento de amountIn para trocas ExactOut foi corrigida em relação à V2. Além disso, o Balancer agora arredonda para cima o saldo de tokenIn durante cálculos internos, reforçando o arredondamento já correto para resultados mais conservadores e seguros.

Limites de pools estáveis e a razão máxima de desequilíbrio

As pools estáveis na V3 também ganharam uma restrição adicional de proteção, desenhada para refletir o comportamento esperado destes mercados na prática. Esta salvaguarda foca em evitar desequilíbrios extremos que historicamente caracterizaram tentativas de exploração.

A nova razão máxima de desequilíbrio impõe um limite rígido de 10.000:1 entre o maior e o menor saldo de tokens numa pool estável. Embora estas pools devam manter-se próximas de um equilíbrio 1:1, este teto generoso bloqueia estados extremos que já foram utilizados em ataques conhecidos.

A ideia central é limitar as pools estáveis a uma zona operacional que seja economicamente relevante. Não há motivo válido para operar uma pool com razões próximas desses extremos, pelo que o protocolo agora proíbe tais configurações, reforçando limites sensatos para pools estáveis.

Reavaliação de trocas relâmpago e cenários impossíveis

Uma realização chave moldou estas decisões de design: as trocas relâmpago são fundamentalmente diferentes de empréstimos relâmpago. Embora ambos ofereçam acesso temporário a ativos, os empréstimos relâmpago permanecem limitados pela liquidez disponível na cadeia.

As trocas relâmpago, pelo contrário, são limitadas principalmente pelo armazenamento, que pode teoricamente atingir 1e128 tokens, muito além de qualquer circulação ou fornecimento total de ativos. Além disso, esta discrepância abre espaço para abusos quando os protocolos não reconhecem o quão irreais são esses números.

Não há justificativa legítima para emprestar efetivamente mais tokens do que os que existirão algum dia. Tal movimento é uma erro do utilizador ou um ataque direto, não um caso de uso válido. A V3 do Balancer agora impede esses cenários impossíveis através de suas novas salvaguardas.

Estabelecer um padrão mais elevado para a segurança do AMM

O ataque de 3 de novembro deixou lições duras, mas valiosas, para o ecossistema DeFi mais amplo. A resposta do Balancer demonstra um compromisso de aprender com os incidentes, mesmo quando não afetam diretamente a última versão do protocolo.

Ao optar por uma postura preventiva em vez de reativa, o projeto pretende estabelecer um novo padrão de segurança para AMMs, incorporando robustez na própria arquitetura para bloquear ameaças antes de se concretizarem.

A segurança do Balancer vai além do design de contratos inteligentes. Em parceria com a Hypernative, novas pools integram capacidades de pausa estendidas, suportadas por monitorização 24/7, permitindo uma resposta rápida quando surgem ameaças na cadeia, avançando de uma imutabilidade rígida para um modelo de proteção ativa.

Implantação, documentação e o caminho à frente

As novas fábricas de pools ponderados e estáveis, incluindo pools Stable Surge com limites ampliados, já estão ativas em todas as redes suportadas pela V3. Além disso, os desenvolvedores podem consultar especificações técnicas e exemplos na documentação oficial do balancer v3 e nos repositórios relacionados.

A missão do Balancer continua a ser acelerar a inovação em DeFi, fornecendo infraestrutura segura e pronta para produção para aplicações de liquidez. Projetos escolhem o protocolo como base para criar novos tipos de pools e construir dApps financeiros avançados sobre uma infraestrutura auditada e reforçada.

Resumindo, a combinação de escolhas arquitetónicas, auditorias externas, novas salvaguardas e monitorização em tempo real reflete uma mentalidade de segurança em primeiro lugar. A evolução da V3 mostra como um único ataque pode impulsionar o ecossistema rumo a market makers automatizados mais fortes e resilientes.