De Balancer a Berachain, cuando la cadena es puesta en pausa

Una vulnerabilidad expone la contradicción entre la seguridad y la descentralización en DeFi

Redactado por: ChandlerZ, Foresight News

El mundo DeFi vuelve a estar en el ojo de la tormenta.

Varios proyectos basados en la arquitectura de Balancer V2 sufrieron un ataque cuidadosamente planeado el 3 de noviembre, con pérdidas acumuladas que superan los 120 millones de dólares. El incidente no solo afectó a la red principal de Ethereum, sino que también se extendió a Arbitrum, Sonic, Berachain y otras cadenas, convirtiéndose en uno de los incidentes de seguridad más impactantes de la industria tras los casos de Euler Finance y Curve Finance.

El análisis preliminar de BlockSec indica que se trató de un “ataque de manipulación de precios de alta complejidad”, cuyo núcleo radica en que el atacante distorsionó la lógica de cálculo del precio del BPT (Balancer Pool Token), aprovechando errores de redondeo en el invariante, generando distorsión de precios y realizando arbitrajes repetidos en un solo intercambio masivo.

Tomando como ejemplo la transacción de ataque en Arbitrum, el ataque se dividió en tres etapas:

• El atacante primero intercambió BPT por activos base, ajustando con precisión el saldo de cbETH hasta el límite de redondeo (alrededor de 9 unidades), creando las condiciones para la pérdida de precisión posterior;

• Luego, con una cantidad específica (=8), realizó un intercambio entre otro activo base, wstETH y cbETH. Debido al redondeo hacia abajo durante el escalado, el cálculo de Δx se redujo levemente, lo que llevó a una subestimación de Δy, reduciendo el invariante D del pool estable y, por ende, bajando el precio teórico del BPT;

• Finalmente, el atacante volvió a intercambiar los activos base por BPT, obteniendo ganancias de arbitraje a partir del precio deprimido.

En resumen, fue un ataque preciso basado en los límites de las matemáticas y el código.

Balancer confirmó oficialmente que los V2 Composable Stable Pools sufrieron un ataque de vulnerabilidad. Actualmente, el equipo está trabajando junto a los principales investigadores de seguridad para investigar el incidente y se comprometió a compartir un informe completo de análisis posterior lo antes posible. Todos los pools afectados que pueden ser pausados han sido congelados de emergencia y están en modo de recuperación. El impacto de esta vulnerabilidad se limita a los V2 Composable Stable Pools y no afecta a Balancer V3 ni a otros tipos de pools.

Tras el incidente de la vulnerabilidad en Balancer V2, los proyectos que hicieron fork de Balancer experimentaron fuertes turbulencias. Según datos de DeFiLlama, al 4 de noviembre, el valor total bloqueado (TVL) de los proyectos relacionados era de solo unos 49.34 millones de dólares, una caída diaria del 22,88%. Entre ellos, BEX, el DEX nativo de Berachain, vio su TVL caer un 26,4% hasta 40,27 millones de dólares, aún representando el 81,6% de todo el ecosistema, pero debido a la interrupción de la cadena y el congelamiento de la liquidez, la salida de fondos continúa. Otro afectado, Beets DEX, tuvo un desempeño aún más dramático, con una caída del TVL del 75,85% en 24 horas y una caída acumulada de casi el 79% en los últimos 7 días.

Además de los protocolos mencionados, otros DEX basados en la arquitectura de Balancer también experimentaron retiros masivos por pánico. PHUX cayó un 26,8% en un día, Jellyverse un 15,5%, y Gaming DEX se desplomó un 89,3%, quedando prácticamente sin liquidez. Incluso proyectos pequeños y medianos que no fueron afectados directamente, como KLEX Finance, Value Liquid, Sobal, etc., registraron salidas de fondos del 5% al 20%.

Comienza la reacción en cadena: Berachain realiza un hard fork de emergencia

Esta vulnerabilidad originada en Balancer V2 pronto desencadenó una reacción en cadena aún mayor.

Berachain, una nueva blockchain pública construida sobre Cosmos SDK, también fue atacada por hackers en cuestión de horas, ya que BEX utilizaba la arquitectura de contratos de Balancer V2. La fundación, al detectar la anomalía, anunció rápidamente la “detención total de la cadena”.

Se sabe que pools de liquidez como USDe Tripool de BEX estuvieron en riesgo, con fondos afectados por unos 12 millones de dólares. Los atacantes utilizaron la misma lógica de vulnerabilidad que en Balancer, robando fondos a través de múltiples interacciones con contratos inteligentes. Debido a que algunos activos no eran tokens nativos, el equipo tuvo que recurrir a un hard fork para revertir algunos bloques y así recuperar y rastrear los fondos.

Al mismo tiempo, varios protocolos del ecosistema Berachain, incluyendo Ethena, Relay, HONEY, entre otros, tomaron medidas defensivas simultáneamente:

• Prohibición de transferencias cross-chain de USDe;
• Suspensión de depósitos en los mercados de préstamos;
• Detención de la emisión y redención de HONEY;
• Notificación a exchanges centralizados para incluir en listas negras las direcciones sospechosas.

La fundación de Berachain declaró que la pausa de la red fue planificada y que la red volverá a operar normalmente en breve. La vulnerabilidad de Balancer afectó principalmente al pool triple Ethena/Honey, a través de transacciones de contratos inteligentes relativamente complejas. Dado que la vulnerabilidad afectó a activos no nativos (no solo BERA), el proceso de rollback/rollforward no es simplemente un hard fork, por lo que, hasta que se determine una solución definitiva, la red permanecerá pausada para implementar una solución integral.

El 4 de noviembre, la fundación Berachain informó que el archivo binario del hard fork ya fue distribuido y algunos validadores ya se actualizaron. Antes de volver a estar en línea y generar bloques nuevamente, desean asegurarse de que los socios de infraestructura clave necesarios para el funcionamiento en cadena (como los oráculos de liquidación) hayan actualizado sus RPC, ya que estos serán los principales obstáculos para reanudar la operación en cadena. Tras completar las solicitudes RPC de los servicios principales, el equipo coordinará con puentes cross-chain, exchanges centralizados y custodios para restablecer los servicios.

Al mismo tiempo, un operador de bots MEV de Berachain contactó a la fundación tras la pausa de la cadena, afirmando ser un “white hat” que extrajo fondos y envió un mensaje on-chain. Manifestó su disposición a firmar previamente una serie de transacciones para devolver los fondos una vez que la blockchain vuelva a estar en línea.

¿Seguridad o descentralización?

“Sabemos que esto es polémico, pero cuando 12 millones de dólares en activos de usuarios están en riesgo, proteger a los usuarios es la única opción”. Así lo expresó Smokey The Bera, cofundador de Berachain, ante las críticas de la comunidad sobre la “centralización”.

En su declaración, admitió que Berachain aún no alcanza el nivel de descentralización de Ethereum y que el mecanismo de coordinación entre validadores se asemeja más a un “comando de crisis” que a una red de consenso automatizada. De hecho, los nodos en cadena se detuvieron de manera sincronizada en menos de una hora tras la aparición de la vulnerabilidad, mostrando la eficiencia de la toma de decisiones centralizada, pero también exponiendo el grado de centralización en la gobernanza.

La reacción de la comunidad se dividió de inmediato.

Los partidarios consideran que la medida demuestra la responsabilidad del equipo hacia la seguridad de los usuarios, siendo una “descentralización realista”; los detractores acusan que esto viola el principio de “Code is Law” (el código es la ley), y es una traición abierta a la inmutabilidad on-chain.

El detective on-chain ZachXBT comentó: “Cuando los fondos de los usuarios están en grave peligro, es una decisión difícil pero correcta”.

Pero también hubo desarrolladores radicales que no dudaron en señalar: “Si una blockchain puede ser pausada manualmente en cualquier momento, ¿en qué se diferencia del sistema financiero tradicional?”

La sombra del caso DAO reaparece

Este episodio hizo que muchos en la industria recordaran el hackeo al DAO de Ethereum en 2016. En ese entonces, para recuperar 50 millones de dólares robados, Ethereum decidió revertir las transacciones mediante un hard fork, lo que resultó en la división de la comunidad en Ethereum (ETH) y Ethereum Classic (ETC).

Nueve años después, una elección similar vuelve a presentarse.

La diferencia es que, esta vez, el protagonista es una blockchain pública aún en fase inicial de desarrollo, sin suficiente descentralización ni el respaldo de un consenso global.

La intervención humana de Berachain evitó pérdidas mayores, pero reavivó el debate filosófico sobre si la blockchain puede realmente ser autónoma.

En cierto modo, esto también es un reflejo del ecosistema DeFi: seguridad, eficiencia y descentralización — el equilibrio entre los tres nunca se ha logrado plenamente.

Cuando los hackers pueden destruir activos por decenas de millones de dólares en segundos, el “ideal” a menudo debe ceder ante la “realidad”.

Balancer informó que el equipo está trabajando con los principales investigadores de seguridad, planea publicar un informe completo de análisis posterior y advierte a los usuarios sobre posibles estafas de equipos de seguridad falsos.

Por su parte, Berachain espera reanudar gradualmente la producción de bloques y las funciones de transacción tras completar el hard fork.

Sin embargo, restaurar la confianza es más difícil que reparar una vulnerabilidad. Para una blockchain pública emergente, pausar la cadena puede ser una solución de emergencia a corto plazo, pero podría dejar cicatrices a largo plazo en la comunidad. Los usuarios cuestionarán la autenticidad de su descentralización y los desarrolladores temerán por la garantía de inmutabilidad.

El mundo DeFi quizás esté redefiniendo la descentralización, no como una permisividad absoluta, sino como un consenso de compromiso mínimo en tiempos de crisis.