¡Otra crisis en DeFi! Balancer fue hackeado por más de 116 millones de dólares y las pérdidas siguen aumentando.

Alrededor de las 3:48 PM del 3 de noviembre (zona horaria GMT+8), la plataforma de monitoreo de datos on-chain detectó repentinamente que la dirección del vault de Balancer, un veterano protocolo DeFi, realizó una transferencia inusualmente grande.

Según Etherscan, activos multichain como 6.587 WETH (aproximadamente 24,5 millones de dólares), 6.851 osETH (alrededor de 26,9 millones de dólares) y 4.260 wstETH (cerca de 19,3 millones de dólares) fueron transferidos a una billetera externa.

Varios analistas on-chain consideran que esto probablemente se trate de una posible explotación de una vulnerabilidad o un retiro no autorizado, en lugar de una migración rutinaria de liquidez. Varias empresas de análisis blockchain, incluyendo Nansen, ya han marcado estas transacciones como sospechosas.

Según el monitoreo de la firma de seguridad blockchain PeckShield, el ataque continúa desarrollándose en redes multichain como Ethereum.

Hasta aproximadamente las 4:48 PM (GMT+8), la dirección del atacante (0x54B5…30d) realizó otra transacción llamando a la función 0x8a4f75d6, y Lookonchain confirmó que la pérdida total ya supera los 116 millones de dólares.

Mikko Ohtamaa, cofundador de Trading Strategy, señaló que el análisis preliminar indica que la raíz de la vulnerabilidad está en una falla del mecanismo de verificación del smart contract. Aunque no todas las versiones de Balancer se ven afectadas, si los forks antiguos de la V2 presentan la misma vulnerabilidad, las pérdidas totales podrían aumentar aún más.

La seguridad DeFi sigue siendo un desafío

No es la primera vez que Balancer enfrenta problemas de seguridad.

• Ya en 2020, el protocolo sufrió una pérdida de aproximadamente 500.000 dólares cuando los atacantes manipularon los activos del pool mediante flash loans, debido a que no se consideraron las particularidades de los tokens con “tarifa de transferencia”.

• En agosto de 2023, se descubrió una vulnerabilidad en el Boosted Pool de Balancer V2. A pesar de la advertencia oficial, ocurrió un ataque y se perdieron alrededor de 1 millón de dólares.

• En septiembre del mismo año, el dominio frontend de Balancer fue víctima de un secuestro DNS, y los usuarios perdieron cerca de 240.000 dólares tras firmar transacciones en un sitio de phishing.

Ahora, este nuevo ataque vuelve a poner en el centro de la escena los problemas de seguridad en DeFi. Desde el diseño de contratos hasta el despliegue del frontend, desde la lógica de los pools de liquidez hasta la gestión de activos cross-chain, los desafíos de seguridad para Balancer parecen nunca resolverse del todo.

Además, Balancer es un protocolo central de liquidez, por lo que un incidente no solo lo afecta a él. Los LP atrapados, los agregadores que dependen de él, los pools de activos, los vaults de estrategias... todos se ven afectados.

El mundo DeFi se basa en la “confianza sin intermediarios”, pero ante repetidas explotaciones de vulnerabilidades, ¿en qué pueden confiar realmente los usuarios? Tras cinco años de desarrollo, DeFi ya no es solo un juego de nicho para geeks, sino una infraestructura financiera que gestiona miles de millones de dólares. Lamentablemente, incluso protocolos líderes como Balancer siguen atrapados en el ciclo de viejos problemas sin resolver y nuevas heridas que aparecen.

Respuesta de Balancer dos horas después

A las 17:50 (GMT+8), es decir, dos horas después del incidente, Balancer actualizó su cuenta oficial de Twitter: se ha detectado una vulnerabilidad que podría afectar los pools de Balancer v2. Nuestro equipo de ingeniería y seguridad está investigando con máxima prioridad y, tan pronto como tengamos más información, compartiremos actualizaciones confirmadas y los próximos pasos.

Bitpush sigue monitoreando el desarrollo del incidente y compartiremos las novedades más recientes tan pronto como estén disponibles. Manténganse atentos.