Balancer sufrió un robo de más de 120 millones, ¿qué deberías hacer?

Chainfeeds Resumen:

Actualmente, el monto total robado asciende a 128.64 millones de dólares y el ataque continúa en curso.

Fuente del artículo:

Foresight News

Opinión:

Foresight News: El 3 de noviembre por la tarde, el veterano protocolo DeFi Balancer sufrió un importante ataque debido a una vulnerabilidad de seguridad. El atacante manipuló el contrato inteligente central del protocolo y, en pocas horas, transfirió más de 110 millones de dólares en criptoactivos desde varios pools de liquidez, enviando los fondos directamente desde la bóveda de Balancer a una wallet controlada por él. Según datos de DeBank, en el ecosistema de Ethereum el monto robado alcanzó los 99.85 millones de dólares, en la red Arbitrum se perdieron 7.95 millones, en Base se robaron 3.94 millones, en Sonic aproximadamente 3.4 millones y en la red Optimism 1.56 millones. El seguimiento de SlowMist muestra que el monto total robado aumentó aún más hasta 128.64 millones de dólares, sumando 12.86 millones del ecosistema Berachain. Como consecuencia, el precio de BAL cayó a cerca de 0.9 dólares, con una baja de más del 8% en 24 horas. Tras el incidente, el equipo oficial de Berachain suspendió la acuñación de HONEY y las funciones de los pools y bóvedas de BEX, además de coordinar con los validadores para detener la red y permitir que el equipo central ejecutara un hard fork de emergencia para corregir la vulnerabilidad relacionada con Balancer V2. Tras la noticia, una dirección de ballena inactiva durante tres años, 0x0090, retiró inmediatamente sus fondos de Balancer, mostrando cómo el pánico se propagó rápidamente. Este incidente no solo expuso un defecto fundamental en el control de acceso de Balancer V2, sino que también demostró cómo la arquitectura de despliegue cross-chain puede amplificar los riesgos, involucrando redes como Ethereum, Base, Polygon, Sonic, entre otras. Al momento de la publicación, el ataque sigue en curso y los equipos de seguridad intentan congelar las direcciones involucradas. Balancer, fundado en 2020 y desarrollado por Balancer Labs, es uno de los protocolos AMM (market maker automatizado) clave en el ecosistema DeFi temprano, destacándose por su diseño de pools de liquidez multi-activo personalizables. A diferencia de mecanismos como Uniswap, que solo permiten un tipo de activo, Balancer permite a los usuarios establecer combinaciones de diferentes pesos de activos, mejorando la eficiencia del capital. Su versión V2, lanzada en 2021, introdujo los Boosted Pools y el sistema de Vault, buscando canalizar los fondos inactivos hacia fuentes de rendimiento, reducir el slippage y aumentar la eficiencia. Sin embargo, esta arquitectura compleja también incrementó los riesgos relacionados con el control de acceso y las dependencias externas. El análisis indica que la causa raíz del ataque fue la falla en el control de acceso del contrato de la bóveda. El atacante utilizó un mecanismo de flash loan para falsificar permisos y extraer activos de los Boosted Pools, eludiendo las verificaciones de autorización y transfiriendo los fondos directamente a la dirección externa 0xAa760D53541d8390074c61DEFeaba314675b8e3f. Los datos on-chain (hash de transacción 0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569) muestran que el ataque completó múltiples transferencias en cuestión de minutos, involucrando derivados principales de ETH como WETH, osETH, wstETH, frxETH, rsETH y rETH. Este tipo de explotación es similar al incidente de Nomad Bridge en 2022, ambos causados por la elusión de la lógica de control de acceso. La arquitectura cross-chain de Balancer amplificó el alcance y las pérdidas del ataque. Este incidente no es aislado, sino una explosión concentrada de los problemas de seguridad de larga data de Balancer. Desde el lanzamiento de V2 en 2021, el protocolo ha pasado por múltiples auditorías, pruebas de fuzzing y verificación formal, pero sigue exponiendo vulnerabilidades con frecuencia. En junio de 2021, perdió 500 mil dólares por un problema de contrato inteligente; en agosto de 2023, sufrió un secuestro DNS con pérdidas de 270 mil dólares; y en octubre de 2025 ocurrió otro incidente menor relacionado con la manipulación de “rate providers”. Estos repetidos incidentes muestran una fragilidad estructural de Balancer en el control de acceso y las dependencias externas. Este ataque obliga a reconsiderar el riesgo de envejecimiento en los protocolos DeFi: los códigos que llevan años en funcionamiento y han sido bifurcados repetidamente son blancos más fáciles para los hackers en entornos multi-chain complejos. Hasu, director estratégico de Flashbots y asesor de Lido, señaló en una publicación: “Desde su lanzamiento en 2021, Balancer V2 ha sido uno de los contratos inteligentes más bifurcados. Cada vez que un protocolo central como este es vulnerado, el proceso de adopción de toda la industria DeFi retrocede entre 6 y 12 meses”. Actualmente, el equipo de Balancer ha confirmado la existencia de una vulnerabilidad en los pools V2 y está investigando el incidente junto con empresas de seguridad.