Balancer sufrió un ataque de hackers por 116 millones de dólares, ¿la mitología de la seguridad en Finanzas descentralizadas vuelve a desmoronarse?

“Cada vez que un contrato con un tiempo de activación tan prolongado es atacado, hace que la adopción de las Finanzas descentralizadas retroceda de 6 a 12 meses.” El director estratégico de Flashbots, asesor estratégico de Lido, Hasu, expresó esta opinión tras el hackeo de Balancer.

El 3 de noviembre, el veterano protocolo DeFi Balancer sufrió un ataque sin precedentes, con pérdidas que alcanzaron los 116 millones de dólares.

Este monto sustancial de activos fue rápidamente robado en un corto período mediante una vulnerabilidad de retroceso en un contrato inteligente de la piscina de Balancer V2, ubicada en un puente cross-chain. Hasta el 4 de noviembre, los hackers estaban intercambiando los activos robados por ETH a través de Cow Protocol.

01 Revisión del evento: la enorme cantidad de fondos que desaparecen en un instante

El ataque a Balancer desató una gran conmoción en el mundo de las criptomonedas el 3 de noviembre, inicialmente con un monto robado de aproximadamente 70 millones de dólares, que luego continuó aumentando.

Hasta el momento de redactar este informe, las pérdidas ya alcanzaban los 116 millones de dólares, convirtiéndose en el incidente de seguridad más grave en la historia de Balancer.

La información en la cadena muestra que los principales activos robados por los atacantes incluyen tokens líquidos de participación como WETH, wstETH, osETH, frxETH, rsETH, rETH, entre otros.

Estos activos están distribuidos en varias cadenas, como ETH, Base, Sonic, entre otras, siendo la cadena de Ethereum la más afectada, con pérdidas cercanas a los 100 millones de dólares.

02 Análisis de la vulnerabilidad: un error básico que provocó un desastre

Los investigadores de seguridad localizaron rápidamente la raíz de la vulnerabilidad. Según los análisis de las agencias de monitoreo de seguridad Defimon Alerts y Decurity, el problema residía en la verificación del control de acceso en la función manageUserBalance del protocolo Balancer V2.

El sistema, al verificar los permisos de retiro en Balancer V2, debería comprobar si el llamador (msg.sender) era realmente el propietario de la cuenta, pero el código verificaba erróneamente si msg.sender era igual al parámetro op.sender proporcionado por el usuario.

Dado que op.sender es un parámetro controlado por el usuario, el atacante podía falsificar su identidad a voluntad, evadiendo la verificación de permisos.

Este error básico en el control de acceso, en un protocolo que lleva 5 años en funcionamiento, resulta difícil de creer para los expertos en seguridad.

03 Retroceso en la historia: seis incidentes de seguridad en seis años en Balancer

Si te resulta familiar el título “Balancer fue hackeado”, no es de extrañar. Este es ya el sexto incidente de seguridad en los 5 años de historia de Balancer.

Mirando hacia atrás, el historial de seguridad de Balancer no ha sido nada optimista:

• Junio de 2020: vulnerabilidad en tokens deflacionarios, pérdidas aproximadas de 520,000 dólares
• Marzo de 2023: daños indirectos por el incidente Euler, pérdidas de aproximadamente 11.900.000 dólares
• Agosto de 2023: vulnerabilidad de precisión en la piscina V2, pérdidas de unos 2.100.000 dólares
• Septiembre de 2023: ataque de secuestro de DNS, pérdidas de aproximadamente 240,000 dólares
• Junio de 2024: el fork del proyecto Velocore fue hackeado, con pérdidas de unos 6.800.000 dólares

Cada incidente revela la fragilidad de la línea de defensa de Balancer y de todo el ecosistema DeFi.

04 Impacto en el mercado: colapso de confianza y caída de precios

La reacción del mercado ante este ataque fue rápida y contundente. Según datos de CoinMarketCap, el token BAL (Balancer) cayó un 7,13% el 3 de noviembre, situándose en 0,92 dólares.

La capitalización de mercado actual de BAL es de aproximadamente 62,2 millones de dólares, una reducción de unos 4,775 millones respecto al día anterior. Además, los datos de Gate muestran que el precio de BAL ha estado bajo presión en las últimas semanas.

La confianza en la seguridad de Balancer se ha visto gravemente afectada, y los inversores están ajustando activamente sus estrategias de tenencia, con una presión de venta evidente.

Un dato interesante es que, según LookonChain, una Ballena que había estado inactiva durante 3 años acaba de despertar tras el incidente en la vulnerabilidad de Balancer, y está ansiosa por retirar sus activos relacionados por valor de 6,5 millones de dólares.

05 Reacción en la industria: autoconservación y suspensión de operaciones

Frente a esta crisis repentina, varios proyectos integrados con Balancer han implementado medidas de autoconservación:

• Lido ha retirado sus posiciones en Balancer que no estaban afectadas
• Berachain ha anunciado la suspensión de la red para realizar una bifurcación en caliente y reparar la vulnerabilidad relacionada con Balancer V2 en BEX
• El fundador de Berachain, Smokey The Bera, indicó que ha pedido al equipo de Ethena desactivar el puente Bera y suspender las operaciones en los mercados relacionados

Estas acciones muestran la posición clave de Balancer en el ecosistema DeFi y resaltan cómo una vulnerabilidad en un solo protocolo puede desencadenar riesgos sistémicos.

06 El futuro de la seguridad en DeFi: de la deuda técnica a la gestión de riesgos

Una de las innovaciones de Balancer, que permite crear pools híbridos con hasta 8 tokens con pesos personalizados, también se ha convertido en su punto débil.

En comparación con el diseño simple de Uniswap, la complejidad de Balancer crece exponencialmente. Cada token adicional aumenta enormemente el espacio de estados del pool, ampliando la superficie de ataque.

Balancer ha optado por una ruta de desarrollo de rápida iteración. Desde V1 hasta V2, y luego con diversos pools mejorados, cada actualización se ha construido sobre el código anterior, añadiendo nuevas funciones.

Esta acumulación de “deuda técnica” ha convertido su base de código en una torre de bloques vulnerable.

Para 2025, el sector DeFi enfrentará nuevos desafíos en seguridad. Los ataques TEE.Fail demuestran que incluso las medidas de seguridad a nivel de hardware pueden ser vulneradas con herramientas que cuestan solo 1000 dólares.

Y los vectores de ataque se han desplazado de vulnerabilidades en contratos inteligentes a vulnerabilidades operativas, con el 80,5% de las pérdidas actuales derivadas de amenazas off-chain como phishing, airdrops falsos y filtraciones de claves privadas.

Para hacer frente a estos desafíos, tecnologías innovadoras como la criptografía de pruebas de conocimiento cero y las billeteras multisig están reduciendo las pérdidas por explotación de vulnerabilidades en un 90% desde 2020.

07 Guía para inversores: avanzar con precaución en medio del riesgo

Para los inversores, este incidente vuelve a sonar la alarma. En el mundo de las Finanzas descentralizadas, hay que tener en cuenta:

• Soltar fondos de los pools afectados: retirar inmediatamente fondos de los pools de Balancer V2 para evitar mayores pérdidas
• Cancelar autorizaciones: usar Revoke, DeBank o Etherscan para cancelar los permisos de los contratos inteligentes de Balancer en DIRECCIÓN
• Priorizar proyectos auditados: valorar aquellos que combinan auditorías de contratos inteligentes con monitoreo en tiempo real y mecanismos de corte
• Usar billeteras multisig: reducir el riesgo de fallo único, especialmente en grandes posiciones

Perspectivas futuras

Hasta las últimas noticias del 4 de noviembre, los hackers de Balancer han comenzado a intercambiar los tokens líquidos de participación robados por ETH a través de Cow Protocol. Los analistas en cadena, como Yuren, han detectado que los atacantes están continuamente intercambiando los activos robados en varias cadenas por ETH, USDC y otros activos principales.

El equipo oficial de Balancer ha declarado que está dispuesto a pagar el 20% de los activos robados como recompensa blanca para recuperar los fondos, válido durante 48 horas. Sin embargo, las esperanzas de recuperar estos activos robados parecen cada vez más remotas.

Para los observadores, DeFi es una especie de experimento social innovador; para los participantes, un costoso aprendizaje tras un robo; y para toda la industria, la salud de DeFi es una tarifa que hay que pagar para alcanzar la madurez.