"Cada vez que un contrato de larga duración como este es atacado, la adopción de DeFi retrocede entre seis y doce meses." Así lo expresó Hasu, responsable de Estrategia en Flashbots y asesor estratégico de Lido, tras el reciente hackeo de Balancer.
El 3 de noviembre, el veterano protocolo DeFi Balancer sufrió un hackeo sin precedentes, que provocó pérdidas de hasta 116,6 millones de dólares.
Esta enorme suma fue sustraída rápidamente debido a una vulnerabilidad de callback entre cadenas en los contratos inteligentes de los pools Balancer V2. A fecha de 4 de noviembre, el atacante seguía intercambiando los activos robados por ETH a través de Cow Protocol.
01 Resumen del incidente: fondos masivos desaparecen en un instante
El ataque a Balancer sacudió el mundo cripto el 3 de noviembre, con unas pérdidas iniciales estimadas en torno a 70 millones de dólares, cifra que aumentó rápidamente.
En el momento de redactar este artículo, las pérdidas totales alcanzan los 116,6 millones de dólares, convirtiéndose en el incidente de seguridad más grave en la historia de Balancer.
Los datos on-chain revelan que los principales activos sustraídos fueron tokens de staking líquido, como WETH, wstETH, osETH, frxETH, rsETH, rETH y otros.
Estos activos estaban repartidos en varias cadenas —ETH, Base, Sonic—, siendo Ethereum la más afectada, con casi 100 millones de dólares en pérdidas.
02 Análisis de la vulnerabilidad: una catástrofe provocada por un simple error
Los investigadores de seguridad identificaron rápidamente la causa raíz. Según Defimon Alerts y Decurity, el problema residía en las comprobaciones de control de acceso de la función manageUserBalance del protocolo Balancer V2.
Al verificar los permisos de retirada, el sistema debía comprobar si quien ejecutaba la llamada era realmente el titular de la cuenta. Sin embargo, el código validaba erróneamente si msg.sender (el ejecutor real) coincidía con el parámetro op.sender proporcionado por el usuario.
Dado que op.sender es un dato controlado por el usuario, los atacantes podían suplantar fácilmente su identidad y eludir las comprobaciones de permisos.
El hecho de que un error tan básico de control de acceso apareciera en un protocolo en funcionamiento desde hace cinco años dejó atónitos a los expertos en seguridad.
03 Perspectiva histórica: seis incidentes de seguridad en seis años
Si el titular "Balancer hackeado" te resulta familiar, no eres el único. Se trata, de hecho, del sexto gran incidente de seguridad de Balancer en cinco años.
Repasar la trayectoria de seguridad de Balancer ofrece una visión preocupante:
- Junio de 2020: vulnerabilidad con tokens deflacionarios, ~520 000 dólares perdidos
- Marzo de 2023: pérdidas indirectas por el incidente de Euler, ~11,9 millones de dólares perdidos
- Agosto de 2023: error de precisión en pools V2, ~2,1 millones de dólares perdidos
- Septiembre de 2023: ataque de secuestro DNS, ~240 000 dólares perdidos
- Junio de 2024: hackeo al proyecto bifurcado Velocore, ~6,8 millones de dólares perdidos
Las brechas de seguridad reiteradas han dejado en evidencia la fragilidad no solo de Balancer, sino del ecosistema DeFi en su conjunto.
04 Impacto en el mercado: colapso de la confianza y desplome del precio
El mercado reaccionó de forma rápida y contundente. Según CoinMarketCap, el token BAL (Balancer) cayó un 7,13 % el 3 de noviembre, cerrando en 0,92 dólares.
La capitalización actual de BAL ronda los 62,2 millones de dólares, unos 4,78 millones menos que el día anterior. Los datos de la plataforma Gate muestran que el precio de BAL lleva tiempo bajo presión.
La confianza en la seguridad de Balancer ha quedado gravemente dañada, con inversores ajustando activamente sus posiciones y una fuerte presión vendedora.
Un giro curioso: LookonChain informó de que una ballena cripto, inactiva durante tres años, despertó de repente tras el exploit de Balancer y retiró rápidamente 6,5 millones de dólares en activos de la plataforma.
05 Efecto dominó en el sector: medidas de emergencia y paralización de operaciones
En respuesta a la crisis, varios proyectos integrados con Balancer tomaron medidas urgentes:
- Lido retiró sus posiciones no afectadas en Balancer
- Berachain anunció la paralización total de la red para realizar un hard fork de emergencia y corregir vulnerabilidades BEX vinculadas a Balancer V2
- Smokey The Bera, fundador de Berachain, comunicó que el equipo de Ethena deshabilitó el puente Bera y suspendió las operaciones de mercado relacionadas
Estas acciones subrayan el papel clave de Balancer en el ecosistema DeFi y ponen de manifiesto cómo la vulnerabilidad de un solo protocolo puede desencadenar un riesgo sistémico.
06 El futuro de la seguridad DeFi: de la deuda técnica a la gestión del riesgo
Una de las innovaciones de Balancer —permitir hasta ocho tokens con pesos personalizados en un solo pool— se ha convertido también en su talón de Aquiles.
En comparación con el diseño simplificado de Uniswap, la complejidad de Balancer crece exponencialmente. Cada token añadido amplía drásticamente el espacio de estados del pool y su superficie de ataque.
Balancer optó por iterar rápidamente, añadiendo nuevas funciones sobre el código heredado desde V1 hasta V2 y los Boosted Pools.
Esta acumulación de "deuda técnica" ha convertido la base de código en una precaria torre de bloques.
En 2025, la seguridad DeFi afronta nuevos retos. El ataque TEE.Fail demostró que incluso la seguridad a nivel hardware puede ser vulnerada con herramientas que cuestan apenas 1 000 dólares.
Los vectores de ataque han pasado de los fallos en contratos inteligentes a vulnerabilidades operativas, con un 80,5 % de las pérdidas derivadas ahora de phishing, falsos airdrops y filtraciones de claves privadas, amenazas que se originan fuera de la cadena.
Para combatir estos riesgos, innovaciones como la criptografía de conocimiento cero y las wallets multifirma han contribuido a reducir las pérdidas por exploits en un 90 % desde 2020.
07 Guía para inversores: gestionar los riesgos con cautela
Para los inversores, este incidente es un recordatorio contundente. Navegar por el panorama DeFi exige vigilancia:
- Retira fondos de los pools afectados: retira inmediatamente tus fondos de los pools Balancer V2 para evitar más pérdidas
- Revoca autorizaciones: utiliza Revoke, DeBank o Etherscan para cancelar los permisos de contratos inteligentes asociados a las direcciones de Balancer
- Prioriza proyectos auditados: elige protocolos que combinen auditorías de contratos inteligentes con monitorización en tiempo real y mecanismos de corte de emergencia
- Utiliza wallets multifirma: reduce el riesgo de puntos únicos de fallo, especialmente para grandes sumas
Mirando al futuro
A fecha de 4 de noviembre, las últimas actualizaciones muestran que el hacker de Balancer sigue intercambiando los tokens de staking líquido robados por ETH a través de Cow Protocol. Los analistas on-chain han detectado que el atacante convierte activos en varias cadenas a ETH, USDC y otros tokens principales.
El equipo oficial de Balancer ha ofrecido una recompensa del 20 % en modalidad white-hat por la devolución de los activos robados, válida durante 48 horas. Sin embargo, las esperanzas de recuperación se desvanecen.
Para los observadores, DeFi sigue siendo un experimento social novedoso; para los participantes, cada exploit es una lección costosa; para el sector, construir un ecosistema DeFi robusto es el precio de la madurez.
