En 5 años, 6 incidentes con pérdidas superiores a 100 millones: historial de hackeos en el veterano protocolo DeFi Balancer

Introducción de Chainfeeds:

Para los observadores, DeFi es un experimento social novedoso; para los participantes, ser víctima de un robo en DeFi es una lección costosa.

Fuente del artículo:

TechFlow

Opinión:

TechFlow: Después del incidente, Balancer publicó rápidamente un comunicado oficial, reconociendo que se había detectado una vulnerabilidad que podría afectar a los pools V2 y anunciando que los equipos de ingeniería y seguridad estaban investigando el evento con alta prioridad. Indicaron que publicarían los resultados de la verificación y las medidas posteriores una vez que tuvieran más información. Al mismo tiempo, el equipo anunció que estaba dispuesto a ofrecer una recompensa de white hat del 20% de los activos robados para recuperar los fondos, con un plazo de 48 horas. Aunque la respuesta fue rápida, aún sonó burocrática y no logró calmar la ansiedad de la comunidad. Para los usuarios experimentados de DeFi, los hackeos a Balancer se han vuelto casi una noticia cíclica. Desde su fundación en 2020, este protocolo, alguna vez aclamado como un market maker flexible, ha sufrido seis incidentes de seguridad en cinco años, prácticamente uno por año. En junio de 2020, Balancer perdió alrededor de 520 mil dólares debido a una vulnerabilidad en el manejo del token deflacionario STA. El atacante aprovechó la característica de STA de quemar automáticamente el 1% de la comisión en cada transferencia, pidió prestados 104 mil ETH en dYdX y realizó 24 transacciones cíclicas en el pool hasta agotar todo el STA, dejando solo 1 wei, y luego intercambió ETH, WBTC, LINK y SNX a precios extremadamente desbalanceados. Este evento fue el primer gran revés de Balancer y reveló la fragilidad del protocolo en el diseño de compatibilidad con tokens complejos. En los años siguientes, Balancer sufrió repetidos incidentes de seguridad. En marzo de 2023, fue afectado indirectamente por el ataque a Euler Finance, perdiendo aproximadamente 11.9 millones de dólares. En ese momento, Euler sufrió un ataque de flash loan por 197 millones de dólares, y el pool bb-e-USD de Balancer, que tenía eToken de Euler, vio cómo sus fondos eran transferidos a Euler, representando el 65% del TVL del pool. Aunque el equipo congeló el pool de emergencia, la pérdida fue irreversible. En agosto del mismo año, el pool V2 sufrió un ataque por una vulnerabilidad de “error de redondeo”, donde el atacante explotó la imprecisión de los Boosted Pools para manipular el cálculo del suministro de BPT y retirar activos a una tasa injusta. Aunque Balancer advirtió proactivamente el 22 de agosto y pidió a los usuarios que retiraran sus fondos, cinco días después el hacker logró ejecutar el ataque, causando una pérdida de aproximadamente 2.1 millones de dólares. En septiembre ocurrió un incidente de secuestro de DNS, donde el hacker, mediante ingeniería social, comprometió al registrador EuroDNS y secuestró el dominio balancer.fi, redirigiendo a los usuarios a un sitio de phishing y usando el contrato malicioso Angel Drainer para inducir autorizaciones de transferencia. Aunque este incidente no fue una vulnerabilidad de smart contract, mostró la fragilidad de los protocolos Web3 en la capa de seguridad de Internet tradicional. En junio de 2024, Velocore, un proyecto bifurcado de Balancer, fue hackeado y perdió 6.8 millones de dólares debido a una vulnerabilidad de overflow en el diseño del pool CPMM, lo que resalta el riesgo sistémico de la arquitectura tipo Balancer. El ataque de noviembre de 2025 es el más grave hasta la fecha. Las empresas de seguridad Decurity y Defimon Alerts señalaron que la vulnerabilidad se originó en un error de lógica de control de acceso en la función manageUserBalance del protocolo V2. Normalmente, el sistema debería verificar si quien llama es el propietario de la cuenta, pero el código erróneamente verificaba si msg.sender era igual al parámetro personalizado op.sender del usuario. Como op.sender podía ser cualquier valor introducido por el usuario, el atacante podía falsificar la identidad y eludir la verificación de permisos para ejecutar la operación WITHDRAW_INTERNAL, extrayendo activos de cualquier cuenta directamente del vault. En otras palabras, cualquiera podía hacerse pasar por el propietario de cualquier cuenta y retirar fondos. Es impactante que un error tan básico de control de acceso ocurra en un protocolo maduro con cinco años de funcionamiento. Mirando hacia atrás, se puede ver que la complejidad y la rápida iteración de Balancer han ido difuminando los límites de seguridad: el diseño de pools personalizados con hasta ocho tokens y pesos configurables aumentó la flexibilidad, pero también multiplicó exponencialmente la superficie de ataque. Con la acumulación de funcionalidades y deuda técnica, la estructura de código de Balancer se asemeja a una torre de bloques frágil. La última vulnerabilidad revela no solo un error de contrato, sino también una preocupación sobre el camino de desarrollo de DeFi: bajo la narrativa y la fiebre del capital, la robustez del código parece haberse vuelto una consideración secundaria.