Balancer V2 pierde 128 millones de dólares en un importante hackeo de DeFi

El 3 de noviembre de 2025, Balancer, una de las plataformas de finanzas descentralizadas (DeFi) más antiguas y confiables, fue víctima de un hackeo masivo que drenó más de $128 millones de sus usuarios.

El hackeo comenzó a las 7:48 AM UTC del lunes por la mañana. Los atacantes lograron robar aproximadamente 6.587 WETH (con un valor de unos $24,5 millones), 6.851 osETH (con un valor de $26,9 millones) y 4.260 wstETH (con un valor de $19,3 millones) junto con otros tokens. Los fondos robados fueron rápidamente transferidos a carteras recién creadas controladas por los hackers.

Cómo funcionó el ataque

Los investigadores de seguridad descubrieron que los hackers explotaron una falla crítica en el código del Smart Contract de Balancer V2. La vulnerabilidad existía en una función llamada "manageUserBalance", que supuestamente controla quién puede mover fondos dentro del sistema. Según expertos en seguridad de blockchain, el atacante aprovechó una verificación de acceso defectuosa que confundía dos identidades de remitente diferentes, permitiendo retiros no autorizados.

El método de ataque fue altamente sofisticado. Los hackers implementaron Smart Contracts maliciosos y crearon tokens falsos para manipular los precios de los tokens reales en los pools de liquidez de Balancer. Explotaron pequeños errores de redondeo en los cálculos del sistema, utilizando múltiples intercambios en una sola transacción para amplificar estas pequeñas discrepancias en distorsiones masivas de precios. Esto les permitió drenar liquidez de los pools a tasas de cambio extremadamente favorables.

Fuente: @Balancer

Lo que hace que este ataque sea particularmente preocupante es el nivel de planificación involucrado. Los datos de blockchain muestran que el atacante se preparó cuidadosamente durante meses, financiando su cuenta a través de Tornado Cash usando pequeños depósitos de 0,1 ETH para ocultar sus rastros. Este enfoque metódico sugiere el trabajo de un hacker altamente calificado y experimentado, posiblemente con conexiones a exploits cripto anteriores.

Múltiples Blockchains gravemente afectadas

El daño no se limitó a una sola red. Debido a que Balancer opera a través de múltiples blockchains, el hackeo se propagó rápidamente. Ethereum sufrió las peores pérdidas con $99 millones. Otras redes también recibieron golpes significativos: Berachain perdió $12,86 millones, Arbitrum perdió $6,86 millones, Base perdió $3,9 millones, Sonic perdió $3,44 millones, Optimism perdió $1,58 millones y Polygon perdió $232.000.

Los efectos se extendieron más allá de Balancer. Varios proyectos que habían copiado el código de Balancer (llamados "forks") también se volvieron vulnerables al mismo ataque. Beets Finance reportó alrededor de $3 millones en fondos afectados, y Beefy Finance pausó todos los productos conectados a Balancer V2 como medida de seguridad.

En una medida controvertida, los validadores de Berachain detuvieron completamente su red blockchain y ejecutaron un Hard Fork de emergencia para proteger aproximadamente $12 millones en fondos de usuarios. Esta decisión generó debate en la comunidad cripto, ya que muchos creen que detener y revertir transacciones de blockchain va en contra de los principios fundamentales de la descentralización.

La cuestión de la auditoría

Quizás el aspecto más preocupante de este hackeo es que Balancer V2 había sido auditado más de 10 veces por importantes empresas de seguridad, incluyendo OpenZeppelin, Trail of Bits, Certora y ABDK. Estas auditorías tuvieron lugar entre 2021 y 2023, pero la vulnerabilidad aún pasó desapercibida.

Este fracaso ha planteado serias dudas sobre la efectividad de las auditorías de seguridad en el espacio DeFi. Suhail Kakar, un investigador de blockchain, dijo en redes sociales: "Balancer pasó por más de 10 auditorías. La bóveda fue auditada tres veces por separado por diferentes empresas y aun así fue hackeada por $110M. Este espacio necesita aceptar que 'auditado por X' no significa casi nada".

Los expertos en seguridad ahora argumentan que las auditorías de código estáticas ya no son suficientes. En cambio, las plataformas DeFi necesitan sistemas de monitoreo en tiempo real continuos que puedan detectar actividades sospechosas antes de que se drenen los fondos.

Impacto en el mercado y esfuerzos de recuperación

El mercado reaccionó rápidamente a la noticia. El token nativo BAL de Balancer cayó un 11,1% a $0,87, y el valor total bloqueado (TVL) del protocolo se desplomó de $776 millones a $406 millones en 24 horas. Esta salida masiva muestra cuán rápidamente los usuarios pierden confianza cuando se compromete la seguridad.

El equipo de Balancer respondió ofreciendo al atacante un trato: devolver todos los fondos robados y quedarse con el 20% como "recompensa white hat" (con un valor aproximado de $25,6 millones). El equipo dio al hacker 48 horas para aceptar y advirtió que trabajarían con las fuerzas del orden y especialistas forenses de blockchain si los fondos no eran devueltos.

Ha habido cierto éxito en los esfuerzos de recuperación. StakeWise, uno de los protocolos afectados, logró recuperar aproximadamente $19 millones en tokens osETH y $1,7 millones en tokens osGNO del explotador. Esto representa alrededor del 73,5% del osETH que fue robado. Los fondos recuperados serán devueltos a los usuarios afectados según sus saldos previos al ataque.

El panorama más amplio

Este hackeo encaja en un patrón preocupante para 2025. Más de $2 mil millones en criptomonedas fueron robados por hackers solo en la primera mitad del año, con pérdidas totales que ahora superan los $2,2 mil millones. La mayoría de estos fondos han sido rastreados hasta hackers supuestamente conectados con el gobierno de Corea del Norte, que utiliza el robo de criptomonedas como una fuente clave de ingresos para sus programas de armamento.

Aunque no hay una atribución confirmada para el hackeo de Balancer, la planificación y ejecución sofisticadas tienen similitudes con ataques llevados a cabo por el infame Grupo Lazarus, una organización de hackers patrocinada por el estado norcoreano conocida por su extensa preparación antes de grandes atracos.

Balancer confirmó que solo los V2 Composable Stable Pools fueron afectados, y que Balancer V3 y otros tipos de pools permanecen seguros. El equipo está trabajando con investigadores de seguridad para producir un informe post-mortem detallado y ha advertido a los usuarios sobre mensajes falsos que circulan suplantando las comunicaciones oficiales de Balancer.

Cuando la confianza se rompe

El exploit de Balancer sirve como una llamada de atención para toda la industria DeFi. A pesar de ser uno de los protocolos más establecidos y auditados, aún cayó víctima de un ataque devastador. Este incidente demuestra que incluso las medidas de seguridad extensas no garantizan protección, y que el espacio cripto debe evolucionar más allá de las prácticas actuales para mantenerse por delante de hackers cada vez más sofisticados. La pregunta ahora es si la industria aprenderá de este fracaso e implementará el monitoreo en tiempo real y los sistemas de seguridad por capas necesarios para prevenir la próxima gran brecha.