Balancer ha sido hackeado por más de 120 millones, ¿qué deberías hacer?

Actualmente, el monto total robado asciende a 128.64 millones de dólares, y el ataque continúa.

Escrito por: 1912212.eth, Foresight News

En la tarde del 3 de noviembre, el veterano protocolo DeFi Balancer sufrió un importante ataque debido a una vulnerabilidad de seguridad. El atacante manipuló el contrato inteligente central del protocolo y, en tan solo unas horas, logró extraer más de 110 millones de dólares en criptoactivos de varios pools de liquidez, transfiriendo los fondos desde la bóveda de Balancer a una cartera controlada por el atacante. Como consecuencia del ataque, el precio del token BAL cayó hasta cerca de 0.9 dólares, con una disminución del 8.64% en 24 horas.

Según datos de debank, los fondos robados incluyen 99.85 millones de dólares en el ecosistema de Ethereum, 7.95 millones en la red Arbitrum, 3.94 millones en el ecosistema Base, 3.4 millones en Sonic y 1.56 millones en la red OP, entre otros.

Hasta las 5:41 p.m. (UTC+8), una investigación de SlowMist mostró que el monto total robado ascendía a 128.64 millones de dólares, incluyendo un incremento de 12.86 millones de dólares en Berachain.

Berachain anunció oficialmente que ha suspendido la acuñación de HONEY y las funciones de los pools/bóvedas de BEX. Sus nodos validadores han coordinado la suspensión de la red Berachain para que el equipo central pueda ejecutar un hard fork de emergencia y solucionar el problema de la vulnerabilidad relacionada con Balancer V2 en BEX.

Este robo masivo llevó a que la ballena 0x0090, inactiva durante 3 años, actuara rápidamente para retirar fondos de Balancer.

Este incidente no solo expuso fallos en el control de acceso de la arquitectura de Balancer V2, sino que también afectó a varias redes blockchain, incluyendo la mainnet de Ethereum, Base, Polygon y Sonic, lo que provocó que las pérdidas totales aumentaran rápidamente.

Actualmente, el ataque sigue en curso.

Balancer, fundado en 2020 y desarrollado por Balancer Labs, es un protocolo de market maker automatizado (AMM) que permite a los usuarios crear pools de liquidez personalizados y ajustar los pesos de múltiples activos. A diferencia de AMMs más simples como Uniswap, el diseño de Balancer se centra en la flexibilidad y la eficiencia de capital, especialmente con la introducción en la versión V2 de los “Boosted Pools” y el sistema de bóvedas (Vault), funcionalidades destinadas a optimizar el rendimiento y reducir el slippage. Durante el último auge de DeFi, el TVL de Balancer alcanzó los 3.239 billones de dólares.

Actualmente, el TVL del protocolo es de solo 678.44 millones de dólares.

El análisis muestra que este ataque se originó por una falla en el control de acceso del contrato de la bóveda: el atacante utilizó un mecanismo de flash loan para falsificar permisos y extraer activos de los Boosted Pools. En concreto, el atacante manipuló a los rate providers para eludir las comprobaciones de autorización y transferir fondos directamente desde la bóveda a la dirección externa 0xAa760D53541d8390074c61DEFeaba314675b8e3f. El hash de la transacción en la cadena (0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569) muestra que el ataque completó varias transferencias en cuestión de minutos, involucrando derivados de ETH como WETH, osETH, wstETH, frxETH, rsETH y rETH. Este método es similar a ataques DeFi anteriores, como la vulnerabilidad de control de acceso de Nomad Bridge en 2022, pero el despliegue multichain de Balancer amplificó el riesgo, resultando en pérdidas cross-chain.

Las causas de este ataque se remontan a problemas históricos de seguridad de Balancer. No es la primera vez que el protocolo enfrenta riesgos:

• En junio de 2021, Balancer perdió 500,000 dólares debido a una vulnerabilidad en un contrato inteligente;
• En agosto de 2023, un ataque de secuestro de DNS provocó la salida de 270,000 dólares.

El incidente más reciente de menor escala ocurrió en octubre de 2025, relacionado con la manipulación de los rate providers.

Todos estos eventos apuntan a debilidades en el control de acceso y la dependencia de factores externos del protocolo. Desde su lanzamiento en 2021, la versión V2 ha estado operativa casi 5 años, ha pasado por múltiples auditorías, pruebas de fuzzing y verificaciones formales, pero aún no ha logrado cerrar completamente las vulnerabilidades.

Hasu, director estratégico de Flashbots y asesor estratégico de Lido, comentó: “Balancer v2 se lanzó en 2021 y desde entonces se ha convertido en uno de los contratos inteligentes más observados y bifurcados. Esto es muy preocupante. Cada vez que un contrato con tanto tiempo en producción es atacado, (con razón) el proceso de adopción de DeFi retrocede entre 6 y 12 meses.”

Actualmente, el equipo de Balancer ha emitido un comunicado advirtiendo que los pools V2 pueden tener vulnerabilidades, y que los ingenieros y el equipo de seguridad están investigando el incidente.

Foresight News recomienda a los usuarios retirar sus fondos de inmediato, revocar aprobaciones (por ejemplo, usando Revoke.cash) y evitar cualquier enlace sospechoso de phishing.