De Balancer a Berachain, cuando la cadena es puesta en pausa

Escrito por: ChandlerZ, Foresight News

El mundo DeFi vuelve a estar en el ojo de la tormenta.

Varios proyectos basados en la arquitectura de Balancer V2 sufrieron un ataque cuidadosamente planeado el 3 de noviembre, con pérdidas acumuladas que superan los 120 millones de dólares. El incidente no solo afectó a la red principal de Ethereum, sino que también se extendió a Arbitrum, Sonic, Berachain y otras cadenas, convirtiéndose en uno de los incidentes de seguridad más impactantes de la industria desde los casos de Euler Finance y Curve Finance.

El análisis preliminar de BlockSec indica que se trató de un "ataque de manipulación de precios de alta complejidad", cuyo núcleo radica en que el atacante distorsionó la lógica de cálculo del precio del BPT (Balancer Pool Token), aprovechando errores de redondeo en el invariante, generando distorsión de precios y realizando arbitrajes repetidos en un solo intercambio masivo.

Tomando como ejemplo la transacción de ataque en Arbitrum, el ataque se divide en tres fases:

• El atacante primero intercambia BPT por el activo base, ajustando con precisión el saldo de cbETH hasta el límite de redondeo (alrededor de 9 unidades), creando condiciones para la pérdida de precisión en los siguientes pasos;

• Luego, intercambia una cantidad específica (=8) entre otro activo base, wstETH y cbETH. Debido al redondeo hacia abajo durante el escalado, el cálculo de Δx se reduce levemente, lo que subestima Δy y hace que el invariante D del pool estable disminuya, bajando así el precio teórico del BPT;

• Finalmente, el atacante convierte el activo base de nuevo a BPT, obteniendo ganancias de arbitraje a partir del precio reducido.

En resumen, se trata de un ataque preciso basado en los límites de las matemáticas y el código.

Balancer confirmó oficialmente que los V2 Composable Stable Pools sufrieron un ataque de vulnerabilidad. Actualmente, el equipo está trabajando con los principales investigadores de seguridad para investigar el incidente y se comprometió a compartir un informe completo de análisis post-mortem lo antes posible. Todos los pools afectados que pueden ser pausados han sido congelados de emergencia y están en modo de recuperación. La vulnerabilidad solo afecta a los V2 Composable Stable Pools, sin impacto en Balancer V3 ni en otros tipos de pools.

Tras el estallido de la vulnerabilidad en Balancer V2, los proyectos que hicieron fork de Balancer experimentaron una fuerte volatilidad. Según datos de DeFiLlama, al 4 de noviembre, el valor total bloqueado (TVL) de los proyectos relacionados era de solo unos 49.34 millones de dólares, una caída diaria del 22.88%. BEX, el DEX nativo de Berachain, vio su TVL caer un 26.4% hasta 40.27 millones de dólares, aún representando el 81.6% de todo el ecosistema, pero debido a la paralización de la cadena y el congelamiento de la liquidez, la salida de fondos continúa. Otro afectado, Beets DEX, sufrió una caída aún más severa, con un desplome del TVL del 75.85% en 24 horas y una caída acumulada de casi el 79% en los últimos 7 días.

Además de los protocolos mencionados, otros DEX basados en la arquitectura de Balancer también experimentaron retiros masivos por pánico. PHUX cayó un 26.8% en un día, Jellyverse bajó un 15.5%, y Gaming DEX se desplomó un 89.3%, quedando prácticamente sin liquidez. Incluso proyectos medianos y pequeños que no fueron afectados directamente, como KLEX Finance, Value Liquid, Sobal, entre otros, registraron salidas de fondos del 5% al 20%.

Comienza la reacción en cadena: Berachain realiza hard fork de emergencia

Esta vulnerabilidad originada en Balancer V2 pronto desencadenó una reacción en cadena aún mayor.

Berachain, una nueva blockchain pública construida sobre Cosmos SDK, también fue atacada en cuestión de horas, ya que BEX utiliza la arquitectura de contratos de Balancer V2. La fundación, al detectar la anomalía, anunció rápidamente la "paralización total de la cadena".

Se sabe que pools de liquidez como USDe Tripool de BEX estuvieron en riesgo, con fondos afectados por unos 12 millones de dólares. El atacante utilizó la misma vulnerabilidad lógica que en Balancer, robando fondos mediante múltiples interacciones con contratos inteligentes. Dado que parte de los activos no son tokens nativos, el equipo debe recurrir a un hard fork para revertir algunos bloques y así restaurar y rastrear los fondos.

Al mismo tiempo, varios protocolos del ecosistema Berachain, incluidos Ethena, Relay, HONEY, entre otros, tomaron medidas defensivas:

• Prohibición de transferencias cross-chain de USDe;

• Suspensión de depósitos en los mercados de préstamos;

• Paralización de la emisión y redención de HONEY;

• Notificación a exchanges centralizados para incluir en lista negra las direcciones sospechosas.

La fundación Berachain comunicó que la suspensión de la red fue planificada y que la red volverá a operar normalmente en breve. La vulnerabilidad de Balancer afectó principalmente a los pools Ethena/Honey, mediante transacciones de contratos inteligentes relativamente complejas. Dado que la vulnerabilidad afectó a activos no nativos (no solo BERA), el proceso de rollback/forward no es simplemente un hard fork, por lo que, hasta definir la solución final, la red permanecerá pausada para implementar una solución integral.

El 4 de noviembre, la fundación Berachain informó que el archivo binario del hard fork ya fue distribuido y algunos validadores ya actualizaron. Antes de reanudar la producción de bloques, buscan asegurarse de que los socios de infraestructura clave (como los oráculos de liquidación) hayan actualizado sus RPC, ya que estos son el principal obstáculo para restaurar la operatividad de la cadena. Tras completar las solicitudes RPC de los servicios centrales, el equipo coordinará con bridges cross-chain, CEX y custodios para reanudar los servicios.

Al mismo tiempo, un operador de bot MEV de Berachain contactó a la fundación tras la suspensión de la cadena, afirmando ser un "white hat" que extrajo fondos y envió un mensaje on-chain. Expresó su disposición a firmar previamente una serie de transacciones para devolver los fondos una vez que la blockchain vuelva a estar en línea.

¿Seguridad primero o descentralización?

"Sabemos que esto es polémico, pero cuando 12 millones de dólares en activos de usuarios están en riesgo, proteger a los usuarios es la única opción". Así lo expresó Smokey The Bera, cofundador de Berachain, ante las críticas de la comunidad sobre la "centralización".

En su declaración, admitió que Berachain aún no ha alcanzado el nivel de descentralización de Ethereum, y que la coordinación entre validadores se asemeja más a un "comando de crisis" que a una red de consenso automatizada. De hecho, los nodos de la cadena se detuvieron en menos de una hora tras detectarse la vulnerabilidad, demostrando la eficiencia de la toma de decisiones centralizada, pero también exponiendo el grado de centralización en la gobernanza.

La reacción de la comunidad se dividió de inmediato.

Los partidarios consideran que la medida demuestra responsabilidad del equipo hacia la seguridad de los usuarios, representando una "descentralización realista"; los detractores acusan que esto viola el principio de "Code is Law" (el código es la ley) y constituye una traición a la inmutabilidad on-chain.

El detective on-chain ZachXBT comentó: "Cuando los fondos de los usuarios están en grave peligro, es una decisión difícil pero correcta".

Pero también hubo desarrolladores radicales que no dudaron en señalar: "Si una blockchain puede ser pausada manualmente en cualquier momento, ¿en qué se diferencia del sistema financiero tradicional?"

La sombra del caso DAO reaparece

Este episodio recordó a muchos en la industria el hackeo al DAO de Ethereum en 2016. En ese entonces, para recuperar 50 millones de dólares robados, Ethereum decidió revertir transacciones mediante un hard fork, lo que dividió a la comunidad en Ethereum (ETH) y Ethereum Classic (ETC).

Nueve años después, una decisión similar vuelve a presentarse.

La diferencia es que esta vez el protagonista es una blockchain pública aún en desarrollo, sin suficiente descentralización ni el peso de un consenso global.

La intervención humana de Berachain evitó pérdidas mayores, pero reavivó el debate filosófico sobre si una blockchain realmente puede ser autónoma.

En cierto sentido, esto también es un reflejo del ecosistema DeFi: seguridad, eficiencia y descentralización — el equilibrio entre los tres nunca se ha alcanzado realmente.

Cuando un hacker puede destruir decenas de millones de dólares en segundos, el "ideal" a menudo debe ceder ante la "realidad".

Balancer informó que el equipo está trabajando con los principales investigadores de seguridad, planea publicar un informe completo de análisis post-mortem y advierte a los usuarios sobre posibles estafas de equipos de seguridad falsos.

Por su parte, Berachain prevé reanudar gradualmente la producción de bloques y las funciones de transacción tras completar el hard fork.

Sin embargo, restaurar la confianza es más difícil que reparar una vulnerabilidad. Para una blockchain emergente, pausar la cadena puede ser una solución de emergencia a corto plazo, pero podría dejar cicatrices duraderas en la comunidad. Los usuarios cuestionarán la autenticidad de su descentralización y los desarrolladores temerán por la garantía de inmutabilidad.

El mundo DeFi quizá esté redefiniendo la descentralización: no como una permisividad absoluta, sino como un consenso de mínimos compromisos en tiempos de crisis.