¡Otro colapso en DeFi! Balancer ha sido hackeado por más de 116 millones de dólares y las pérdidas siguen aumentando.

Alrededor de las 3:48 PM del 3 de noviembre, hora GMT+8, la plataforma de monitoreo de datos on-chain detectó repentinamente que la dirección del tesoro de Balancer, un veterano protocolo DeFi, realizó una transferencia inusualmente grande.

Según Etherscan, activos multichain como 6,587 WETH (aproximadamente 24.5 millones de dólares), 6,851 osETH (alrededor de 26.9 millones de dólares) y 4,260 wstETH (unos 19.3 millones de dólares) fueron transferidos a una cartera externa.

Varios analistas on-chain consideran que esto probablemente se trata de una explotación de vulnerabilidad o un retiro no autorizado, en lugar de una migración rutinaria de liquidez. Varias empresas de análisis blockchain, incluida Nansen, ya han marcado estas transacciones como sospechosas.

Según el monitoreo de la firma de seguridad blockchain PeckShield, el ataque continúa desarrollándose en redes multichain como Ethereum.

Hasta alrededor de las 4:48 PM GMT+8, la dirección del atacante (0x54B5…30d) realizó otra transacción llamando a la función 0x8a4f75d6, y Lookonchain confirmó que la pérdida total ya supera los 116 millones de dólares.

Mikko Ohtamaa, cofundador de Trading Strategy, señaló que el análisis preliminar indica que la raíz de la vulnerabilidad es un defecto en el mecanismo de verificación de los contratos inteligentes. Aunque no todas las versiones de Balancer se ven afectadas, si los forks antiguos de la V2 presentan la misma vulnerabilidad, las pérdidas totales podrían aumentar aún más.

La seguridad DeFi sigue siendo un desafío

Esta no es la primera vez que Balancer enfrenta problemas de seguridad.

• Ya en 2020, el protocolo sufrió una pérdida de aproximadamente 500,000 dólares debido a que no consideró el comportamiento especial de los tokens con “tarifa de transferencia”, lo que permitió a los atacantes manipular los activos del pool mediante préstamos flash.

• En agosto de 2023, se descubrió una vulnerabilidad en el Boosted Pool de Balancer V2. A pesar de la advertencia oficial, se produjo un ataque y se perdieron alrededor de 1 millón de dólares.

• En septiembre del mismo año, el dominio frontend de Balancer fue víctima de un secuestro DNS, y los usuarios perdieron cerca de 240,000 dólares tras firmar transacciones en un sitio de phishing.

Ahora, esta nueva ronda de ataques vuelve a poner en el centro de atención los problemas de seguridad de DeFi. Desde el diseño de contratos hasta el despliegue frontend, desde la lógica de los pools de liquidez hasta la gestión de activos cross-chain, los desafíos de seguridad que enfrenta Balancer parecen no haberse resuelto nunca realmente.

Además, Balancer es un protocolo central de liquidez, por lo que si tiene problemas, no solo se ve afectado él mismo. Los LP atrapados, los agregadores que dependen de él, los pools de activos, los Vaults de estrategias... todos se ven afectados.

El mundo DeFi se basa en la “ausencia de confianza”, pero ante repetidas explotaciones de vulnerabilidades, ¿en qué pueden confiar realmente los usuarios? Tras cinco años de desarrollo, DeFi ya no es un juego de nicho para geeks, sino una infraestructura financiera que gestiona miles de millones de dólares. Lamentablemente, incluso protocolos líderes como Balancer siguen atrapados en el ciclo de viejos problemas sin resolver y nuevas heridas por llegar.

Respuesta de Balancer dos horas después

A las 17:50 GMT+8, es decir, dos horas después del incidente, Balancer actualizó su cuenta oficial de Twitter: Se ha detectado una vulnerabilidad que podría afectar a los pools de Balancer v2. Nuestro equipo de ingeniería y seguridad está investigando con máxima prioridad y compartiremos actualizaciones confirmadas y próximos pasos tan pronto como tengamos más información.

Bitpush sigue monitoreando el desarrollo del incidente y compartiremos las últimas novedades en cuanto estén disponibles. Mantente atento.