Balancer ha sido hackeado por más de 120 millones, ¿qué deberías hacer?

Chainfeeds Resumen:

Actualmente, el monto total robado asciende a 128.64 millones de dólares, y el ataque continúa.

Fuente:

Foresight News

Opinión:

Foresight News: El 3 de noviembre por la tarde, el veterano protocolo DeFi Balancer sufrió un importante ataque debido a una vulnerabilidad de seguridad. El atacante manipuló el contrato inteligente central del protocolo y, en cuestión de horas, transfirió más de 110 millones de dólares en criptoactivos desde varios pools de liquidez, enviando los fondos directamente desde la tesorería de Balancer a una wallet controlada por él. Según datos de DeBank, el ecosistema de Ethereum sufrió un robo de hasta 99.85 millones de dólares, la red Arbitrum perdió 7.95 millones, en Base se robaron 3.94 millones, en Sonic aproximadamente 3.4 millones y en Optimism 1.56 millones. El seguimiento de SlowMist muestra que el monto total robado aumentó aún más hasta 128.64 millones de dólares, sumando 12.86 millones del ecosistema Berachain. Como resultado, el precio de BAL cayó a cerca de 0.9 dólares, con una caída superior al 8% en 24 horas. Tras el incidente, el equipo oficial de Berachain suspendió la acuñación de HONEY y las funciones de los pools y la tesorería de BEX, y coordinó con los validadores para detener la red, permitiendo que el equipo central ejecutara un hard fork de emergencia para corregir la vulnerabilidad relacionada con Balancer V2. Tras la noticia, una dirección de ballena inactiva durante tres años, 0x0090, retiró inmediatamente fondos de Balancer, mostrando una rápida propagación del pánico. Este incidente no solo reveló un defecto fundamental en el control de acceso de Balancer V2, sino que también demostró cómo la arquitectura de despliegue cross-chain puede amplificar los riesgos, involucrando redes como Ethereum, Base, Polygon, Sonic, entre otras. Al momento de la publicación, el ataque sigue en curso y los equipos de seguridad están intentando congelar las direcciones relacionadas. Balancer, fundado en 2020 y desarrollado por Balancer Labs, es uno de los protocolos AMM (market maker automatizado) centrales en el ecosistema DeFi temprano, destacando por su diseño de pools de liquidez multi-activo personalizables. A diferencia de mecanismos de comparación de activos únicos como Uniswap, Balancer permite a los usuarios establecer combinaciones de pesos de varios activos, mejorando la eficiencia del capital. Su versión V2, lanzada en 2021, introdujo los Boosted Pools y el sistema Vault, buscando canalizar fondos inactivos hacia fuentes de rendimiento, reducir el slippage y aumentar la eficiencia. Sin embargo, esta arquitectura compleja también incrementó los riesgos de control de acceso y dependencias externas. El análisis indica que la causa raíz de este ataque fue la falla en el control de acceso del contrato de la tesorería. El atacante utilizó un mecanismo de flash loan para falsificar permisos y extraer activos de los Boosted Pools, eludiendo la verificación de autorización y transfiriendo los fondos directamente a la dirección externa 0xAa760D53541d8390074c61DEFeaba314675b8e3f. Los datos on-chain (hash de transacción 0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569) muestran que el ataque completó múltiples transferencias en cuestión de minutos, involucrando derivados principales de ETH como WETH, osETH, wstETH, frxETH, rsETH y rETH. Esta forma de explotación es similar al incidente de Nomad Bridge en 2022, ambos debidos a la evasión de la lógica de control de acceso. La arquitectura cross-chain de Balancer amplificó el alcance del impacto y las pérdidas. Este incidente no es aislado, sino una explosión concentrada de los riesgos de seguridad latentes de Balancer. Desde el lanzamiento de V2 en 2021, el protocolo ha pasado por múltiples auditorías, pruebas fuzzing y verificaciones formales, pero sigue exponiendo vulnerabilidades con frecuencia. En junio de 2021, perdió 500,000 dólares por un problema de contrato inteligente; en agosto de 2023, sufrió un secuestro DNS con una pérdida de 270,000 dólares; y en octubre de 2025, ocurrió un incidente menor relacionado con la manipulación de “rate providers”. Estos repetidos incidentes muestran la fragilidad estructural de Balancer en el control de acceso y dependencias externas. Este ataque obliga a reconsiderar el riesgo de envejecimiento de los protocolos DeFi: un código base que ha funcionado durante años y ha sido bifurcado frecuentemente se convierte en un objetivo más fácil para los hackers en entornos multi-cadena complejos. Hasu, director de estrategia de Flashbots y asesor de Lido, señaló: “Desde su lanzamiento en 2021, Balancer V2 ha sido uno de los contratos inteligentes más bifurcados. Cada vez que se vulnera un protocolo central como este, el proceso de adopción de toda la industria DeFi retrocede entre 6 y 12 meses”. Actualmente, el equipo de Balancer ha confirmado la existencia de la vulnerabilidad en los pools V2 y está investigando el incidente junto con empresas de seguridad.