De Balancer a Berachain, cuando la cadena es puesta en pausa

Una vulnerabilidad expone la contradicción entre la seguridad y la descentralización en DeFi

Escrito por: ChandlerZ, Foresight News

El mundo DeFi vuelve a estar en el ojo del huracán.

Varios proyectos basados en la arquitectura de Balancer V2 sufrieron el 3 de noviembre un ataque cuidadosamente diseñado, con pérdidas acumuladas que superan los 120 millones de dólares. El incidente no solo afectó a la red principal de Ethereum, sino que también se extendió a Arbitrum, Sonic, Berachain y otras cadenas, convirtiéndose en otro accidente de seguridad que sacude a toda la industria tras los casos de Euler Finance y Curve Finance.

El análisis preliminar de BlockSec indica que se trata de un "ataque de manipulación de precios de alta complejidad", cuyo núcleo radica en que el atacante distorsiona la lógica de cálculo del precio de BPT (Balancer Pool Token), aprovechando errores de redondeo en el invariante para crear distorsiones de precios y así realizar arbitrajes repetidos en un solo intercambio masivo.

Tomando como ejemplo la transacción de ataque en Arbitrum, el ataque se divide en tres fases:

• El atacante primero intercambia BPT por activos base, ajustando con precisión el saldo de cbETH hasta el límite de redondeo (alrededor de 9 unidades), creando condiciones para la pérdida de precisión en los pasos siguientes;

• Luego, con una cantidad específica (=8), intercambia entre otro activo base wstETH y cbETH. Debido al redondeo hacia abajo durante la escala, el valor calculado de Δx disminuye ligeramente, lo que hace que Δy se subestime, reduciendo el invariante D del pool estable y, por tanto, bajando el precio teórico de BPT;

• Finalmente, el atacante intercambia los activos base de vuelta a BPT, obteniendo beneficios de arbitraje a partir del precio reducido.

En resumen, se trata de un ataque de precisión basado en los límites de las matemáticas y el código.

El equipo oficial de Balancer confirmó que los V2 Composable Stable Pools sufrieron un ataque de vulnerabilidad. Actualmente, el equipo está colaborando con los principales investigadores de seguridad para investigar y se ha comprometido a compartir un informe completo de análisis posterior lo antes posible. Todos los pools afectados que pueden ser pausados han sido congelados de emergencia y están en modo de recuperación. El impacto de esta vulnerabilidad se limita a los V2 Composable Stable Pools y no afecta a Balancer V3 ni a otros tipos de pools.

Tras el estallido de la vulnerabilidad en Balancer V2, los proyectos que hicieron fork de Balancer experimentaron fuertes turbulencias. Según los datos de DeFiLlama, hasta el 4 de noviembre, el valor total bloqueado de los proyectos relacionados era de solo unos 49.34 millones de dólares, con una caída diaria del 22.88%. Entre ellos, BEX, el DEX nativo de Berachain, vio su TVL caer un 26.4% hasta los 40.27 millones de dólares, aún representando el 81.6% de todo el ecosistema, pero debido a la paralización en la cadena y la congelación de la liquidez, la salida de fondos continúa. Otro afectado, Beets DEX, sufrió una caída aún más dramática, con un desplome del TVL del 75.85% en 24 horas y una caída acumulada del 79% en los últimos 7 días.

Además de los protocolos mencionados, otros DEX basados en la arquitectura de Balancer también experimentaron retiros masivos por pánico. PHUX cayó un 26.8% en un día, Jellyverse un 15.5%, y Gaming DEX se desplomó un 89.3%, quedando prácticamente sin liquidez. Incluso proyectos pequeños y medianos que no fueron afectados directamente, como KLEX Finance, Value Liquid, Sobal, etc., registraron salidas de fondos del 5% al 20%.

Comienza la reacción en cadena, Berachain realiza una bifurcación dura de emergencia

Esta vulnerabilidad originada en Balancer V2 pronto desencadenó una reacción en cadena aún mayor.

Berachain, una nueva blockchain pública construida sobre Cosmos SDK, también fue atacada por hackers en pocas horas, ya que BEX utiliza la arquitectura de contratos de Balancer V2. Al detectar la anomalía, la fundación anunció rápidamente la "paralización total de la cadena".

Se informa que los pools de liquidez de BEX, como USDe Tripool, se vieron amenazados, con fondos afectados por unos 12 millones de dólares. Los atacantes utilizaron la misma lógica de vulnerabilidad que en Balancer, robando fondos mediante múltiples interacciones con contratos inteligentes. Dado que algunos activos no son tokens nativos, el equipo debe recurrir a una bifurcación dura para revertir algunos bloques y así completar la recuperación y el rastreo.

Al mismo tiempo, varios protocolos del ecosistema de Berachain, incluidos Ethena, Relay, HONEY, etc., también tomaron medidas defensivas:

• Prohibición de transferencias cross-chain de USDe;
• Suspensión de depósitos en los mercados de préstamos;
• Paralización de la acuñación y redención de HONEY;
• Notificación a exchanges centralizados para incluir en listas negras las direcciones sospechosas.

La fundación de Berachain declaró que la suspensión de la red fue planificada y que la red volverá a operar normalmente en breve. La vulnerabilidad de Balancer afectó principalmente a los pools Ethena/Honey mediante transacciones de contratos inteligentes relativamente complejas. Dado que la vulnerabilidad afectó a activos no nativos (no solo BERA), el proceso de reversión/avance no es simplemente una bifurcación dura, por lo que la red permanecerá pausada hasta que se determine una solución integral.

El 4 de noviembre, la fundación de Berachain informó que el archivo binario de la bifurcación dura ya se había distribuido y algunos validadores ya se habían actualizado. Antes de volver a estar en línea y generar bloques, quieren asegurarse de que los socios de infraestructura clave necesarios para el funcionamiento en cadena (como los oráculos de liquidación) hayan actualizado sus RPC, ya que estos serán el principal obstáculo para la reanudación de la cadena. Tras completar las solicitudes RPC de los servicios principales, el equipo coordinará con puentes cross-chain, CEX y custodios para reanudar los servicios.

Al mismo tiempo, un operador de MEV bot de Berachain contactó a la fundación tras la pausa de la cadena, afirmando que actuó como "white hat" para extraer fondos y envió un mensaje en la cadena. Expresó su disposición a firmar previamente una serie de transacciones para devolver los fondos una vez que la blockchain vuelva a estar en línea.

¿Priorizar la seguridad o la descentralización?

"Sabemos que esto es controvertido, pero cuando unos 12 millones de dólares en activos de usuarios están en riesgo, proteger a los usuarios es la única opción". Así respondió Smokey The Bera, cofundador de Berachain, ante las dudas de la comunidad sobre la "centralización".

En su declaración, admitió que Berachain aún no ha alcanzado el nivel de descentralización de Ethereum, y que el mecanismo de coordinación entre validadores se asemeja más a un "comando de crisis" que a una red de consenso automatizada. De hecho, los nodos en la cadena se detuvieron de forma sincronizada en menos de una hora tras la aparición de la vulnerabilidad, demostrando la eficiencia de la toma de decisiones centralizada, pero también exponiendo el grado de centralización en la gobernanza.

La reacción de la comunidad se dividió de inmediato.

Los partidarios consideran que esta medida demuestra la responsabilidad del equipo con la seguridad de los usuarios, siendo una "descentralización realista"; los detractores acusan que esto viola el principio de "Code is Law", traicionando la irreversibilidad en la cadena.

El detective on-chain ZachXBT comentó: "Cuando los fondos de los usuarios están en grave peligro, es una decisión difícil pero correcta".

Pero también hay desarrolladores radicales que no dudan en decir: "Si una blockchain puede ser pausada manualmente en cualquier momento, ¿en qué se diferencia del sistema financiero tradicional?"

La sombra del caso DAO reaparece

Este episodio ha recordado a muchos en la industria el hackeo de DAO en Ethereum en 2016. En ese momento, para recuperar los 50 millones de dólares robados, Ethereum decidió revertir las transacciones mediante una bifurcación dura, lo que resultó en la división de la comunidad entre Ethereum (ETH) y Ethereum Classic (ETC).

Nueve años después, una elección similar vuelve a presentarse.

La diferencia es que esta vez el protagonista es una blockchain pública aún en fase inicial de desarrollo, sin suficiente descentralización ni el respaldo de un consenso global.

La intervención humana de Berachain evitó pérdidas mayores, pero volvió a plantear la cuestión filosófica de si la blockchain puede realmente ser autónoma.

En cierto sentido, esto también es un reflejo del ecosistema DeFi: seguridad, eficiencia y descentralización — el equilibrio entre los tres nunca se ha logrado realmente.

Cuando los hackers pueden destruir activos por decenas de millones de dólares en segundos, el "ideal" a menudo debe ceder ante la "realidad".

El equipo oficial de Balancer declaró que están colaborando con los principales investigadores de seguridad, planean publicar un informe completo de análisis posterior y advierten a los usuarios sobre posibles estafas de equipos de seguridad falsos.

Por su parte, Berachain prevé reanudar gradualmente la producción de bloques y las funciones de transacción tras completar la bifurcación dura.

Sin embargo, restaurar la confianza es más difícil que reparar una vulnerabilidad. Para una blockchain pública emergente, pausar la cadena es una solución de emergencia a corto plazo, pero puede dejar cicatrices a largo plazo en la comunidad. Los usuarios cuestionarán la autenticidad de su descentralización y los desarrolladores se preocuparán por la garantía de inmutabilidad.

El mundo DeFi quizá esté redefiniendo la descentralización, no como una permisividad absoluta, sino como un consenso de compromiso mínimo en tiempos de crisis.