1.28 millones de dólares fueron robados, 27 protocolos de fork "recibieron el impacto", el evento de Balancer nos deja tres grandes lecciones para las Finanzas descentralizadas.

Escrito por: Frank, PANews

El 3 de noviembre, el cielo del mundo DeFi se rasgó. La dirección del tesoro del antiguo protocolo DeFi Balancer experimentó una inusual transferencia de grandes sumas de dinero. En las horas siguientes, toda la industria fue testigo de una catástrofe en tiempo real, con los fondos dañados que pasaron de los 70 millones de dólares inicialmente reportados a 116.6 millones de dólares, estabilizándose finalmente en la asombrosa cifra de 128.64 millones de dólares.

Detrás de la enorme cantidad de pérdidas se encuentran hasta 27 “protocolos bifurcados” del protocolo Balancer V2, que también enfrentan el riesgo sistémico provocado por esta vulnerabilidad crítica que ha estado latente durante mucho tiempo.

Balancer V2 fue atacado por hackers, se robaron 128 millones de dólares en fondos.

El 3 de noviembre, la empresa de seguridad en cadena, Shield, notó transferencias anómalas en el cofre de Balancer V2. Se transfirieron grandes cantidades de Ethereum envuelto (WETH) y productos derivados de staking líquido (wstETH, osETH) a una nueva billetera.

Luego, el equipo de Balancer confirmó rápidamente que efectivamente ocurrió un ataque en la cadena. A medida que el monitoreo en la cadena continuaba, el monto total de los daños alcanzó los 128 millones de dólares. El equipo de Balancer indicó que el alcance del ataque se limitó estrictamente a los Composable Stable Pools de V2. Su arquitectura más nueva de V3 y otros tipos de piscinas de V2 (como las piscinas de pesos) no se vieron afectados.

Hasta el 4 de noviembre, el equipo de Balancer aún no ha publicado la causa específica del ataque. Sin embargo, según el análisis de los analistas en cadena de Nansen, se considera que la raíz de este ataque se encuentra en un “chequeo de control de acceso defectuoso”.

El atacante envió una instrucción maliciosamente construida al tesoro al llamar a la función manageUserBalance del protocolo V2. Esta instrucción engañó el libro mayor interno del protocolo, haciéndole creer que “el protocolo acaba de recibir una gran tarifa” y que “la propiedad de esta tarifa pertenece al atacante”. Posteriormente, el atacante realizó una solicitud de retiro normal, transfiriendo una gran cantidad de activos a sus propias cuentas.

Desde un punto de vista técnico, la realización de este ataque no depende de cuán fuertes sean las capacidades técnicas, sino de cómo el atacante aprovechó hábilmente las vulnerabilidades lógicas dentro del protocolo. Algunos analistas creen que el hacker dejó registros de consola durante el ataque; por la forma en que dejó huellas, es muy probable que este hacker haya utilizado un modelo grande de IA para escribir y revisar el código, lo que le permitió descubrir defectos que los auditores humanos pasaron por alto.

27 protocolos de bifurcación “reciben disparos”, las cadenas inician medidas de emergencia

En comparación con las ingeniosas tácticas de ataque de los hackers, lo que realmente decepciona a la industria es que Balancer V2 había sido auditado un total de 11 veces por cuatro diferentes empresas de seguridad: OpenZeppelin, Trail of Bits, Certora y ABDK, pero aún así no logró detectar esta vulnerabilidad.

Lo más irónico es que el “Composable Stable Pool” (, que fue utilizado esta vez, había sido auditado específicamente por Certora y Trail of Bits en septiembre de 2022.

Como un protocolo DeFi que ha estado en línea durante muchos años y que parece haber sido probado en el mercado, el protocolo Balancer V2 ha desarrollado hasta 27 “protocolos fork” como plantilla, todos los cuales heredan esta vulnerabilidad lógica de Balancer V2. Para los hackers, esta vulnerabilidad es como tener una llave maestra que puede abrir en cualquier momento las bóvedas de estos “protocolos fork” que también tienen código defectuoso.

De hecho, este ataque hacker se ha extendido a múltiples cadenas. Entre ellas, el protocolo principal Balancer V2 de la red principal de Ethereum ) ha sido el más afectado, con una pérdida estimada de 100 millones de dólares. En segundo lugar se encuentra el protocolo BEX de Berachain, cuya pérdida podría alcanzar los 12.86 millones de dólares. Además, hay protocolos de siete cadenas públicas, incluyendo Arbitrum, Base y Sonic, que también se han visto afectados por este ataque.

Frente a esta calamidad inesperada, la industria se enfrenta a una elección difícil: ¿debería aferrarse al fundamentalismo descentralizado de “el código es la ley” y ver cómo se roban los fondos de los usuarios? ¿O debería adoptar medidas de intervención centralizadas para proteger a los usuarios?

Berachain, que fue el más afectado por el desastre, tomó la decisión más radical y controvertida: coordinó los nodos de validación y pausó el funcionamiento de toda la red. A través de la reversión de transacciones, Berachain salvó más de 12 millones de dólares en activos en riesgo en el intercambio BEX.

Por supuesto, esto también ha provocado inevitablemente controversia en la comunidad, algunos cuestionan: “¿No dañará esto por completo la finalización y seguridad de su 'cadena'? Ahora se parece más a una cadena privada que a una cadena de bloques pública, ¿verdad?” A esto, Smokey the Bera, cofundador anónimo de Berachain, respondió: “Creo que tu preocupación es razonable, pero creo que las circunstancias excepcionales requieren medios excepcionales; hemos visto enfoques similares en casos anteriores como Sui y Hyperliquid.”

La mayoría de los miembros de la comunidad todavía apoyan esta decisión, después de todo, el impacto negativo de un fondo que ha sufrido grandes pérdidas puede ser mucho mayor que la llamada creencia en la “descentralización”.

Sonic Chain ha activado un “mecanismo de congelación de cuentas en cadena”, que bloquea la billetera del atacante y los 3.4 millones de dólares en fondos sin detener la red. Los nodos de validación de Polygon han comenzado a “revisar” las transacciones provenientes de la dirección del atacante.

Se han producido múltiples incidentes de vulnerabilidad, la TVL se ha reducido a la mitad, lo que ha provocado una crisis de confianza.

La historia del desarrollo de Balancer, en realidad, también es la historia de una compleja lucha contra las vulnerabilidades lógicas. Anteriormente, Balancer había sufrido múltiples ataques de hackers; desde 2020 hasta 2025, se han registrado al menos cinco incidentes de vulnerabilidad. Estas técnicas de ataque van desde los primeros ataques de préstamos relámpago hasta las más complejas vulnerabilidades de los pools mejorados V2.

Sin embargo, en casos anteriores, el monto de los daños ha estado basicamente entre decenas de miles de dólares y 2 millones de dólares. Para Balancer, estos eventos de ataque pasados son más bien oportunidades para reparar vulnerabilidades. Sin embargo, este desastre con pérdidas estimadas de más de 100 millones ha destruido directamente la confianza y la fe del mercado en Balancer.

Según los datos de Defillama, después del ataque, el TVL de Balancer cayó directamente de 776 millones de dólares a 345 millones de dólares, una disminución de más del 50%. En particular, el TVL de Balancer V2 se redujo en 230 millones de dólares, y los protocolos bifurcados de Balancer V2 también retiraron fondos de los pools, siendo que el TVL de Gaming DEX cayó un 87% en un día, mientras que el de Beets DEX disminuyó un 48%.

Lido también ha indicado que, aunque el protocolo de Lido no se ha visto afectado, por precaución ha retirado su posición en Balancer que no se ha visto afectada.

De hecho, protocolos bifurcados como Gaming DEX han declarado posteriormente que no se vieron afectados en realidad, solo retiraron la mayor parte de los fondos por razones de seguridad.

Para los protocolos DeFi, la confianza es más importante que el oro, especialmente en el contexto de un historial de ataques repetidos. Hasta el 4 de noviembre, según lo revelado oficialmente, StakeWise DAO ha recuperado más de 20 millones de dólares en pérdidas a través de llamadas de contrato del protocolo multi-firma, desde las manos de los hackers. Esto también ha reducido la cantidad perdida a 98 millones de dólares. Al mismo tiempo, la transferencia de activos del hacker sigue en curso, habiéndose cambiado más de la mitad a ETH.

El ataque de 128 millones de dólares se ha convertido en una lección costosa en el proceso de crecimiento de DeFi, y plantea tres preguntas agudas.

1. ¿Cuál es el significado de la “auditoría” cuando las 11 auditorías del “estándar dorado” no pueden encontrar un defecto mortal que ha estado latente durante dos años?

2. Cuando la “enfermedad contagiosa del código” se convierte en la norma, ¿es la composibilidad de DeFi una innovación o una maldición cuando una vulnerabilidad en un protocolo básico puede destruir instantáneamente 27 protocolos derivados?

3. Cuando las nuevas cadenas de bloques se ven obligadas a elegir entre “descentralización” y “salvar a los usuarios”, ¿ha cedido el ideal de “el código es la ley” ante el “centralismo pragmático”?

En el futuro, la seguridad de DeFi puede no depender únicamente de más auditorías, sino de un diseño de protocolos que sea más simple, más robusto y que reduzca fundamentalmente la superficie de ataque. Para aquellos usuarios que han perdido confianza y capital en este evento, el costo de esta comprensión es inmensamente alto.