Por Hannah Pérez En un informe, Balancer identifica un error de redondeo en la función EXACT_OUT como la vulnerabilidad que causó el robo por más de USD $128 millones del pasado 3 de noviembre.
***
- El equipo de Balancer publicó un informe preliminar detallando vulnerabilidad que detonó hackeo.
- Un error de redondeo en la función EXACT_OUT fue lo que provocó el robo de más de USD $128 millones.
- Balancer sufrió un ataque multicadena que afectó a protocolos en Berachain, Sonic y otras redes.
🚨 Hackeo masivo en Balancer: se robaron más de USD $128 millones 🚨
Un error de redondeo en la función EXACT_OUT fue la causa.
El ataque afectó múltiples redes, incluyendo Ethereum y Polygon.
Se activaron medidas inmediatas de recuperación.
Colaboradores recuperaron cerca de… pic.twitter.com/uKou06MikU
— Diario฿itcoin (@DiarioBitcoin) November 6, 2025
El protocolo de finanzas descentralizadas (DeFi) Balancer ha revelado en un informe preliminar que un error de redondeo en su función de ampliación para intercambios EXACT_OUT fue la detonante del reciente hackeo masivo multicadena.
A inicios de semana, Balancer fue víctima de un ataque de piratería que drenó millones en activos de su Composable Stable Pools (CSP) en múltiples redes, incluidas Ethereum, Base, Avalanche, Arbitrum, Optimism y Polygon.
La red Blockchain Berachain, que estuvo entre las afectadas, se apresuró a detenerse para implementar una bifurcación dura en respuesta al incidente, que se estima había provocado pérdidas de más de USD $128 millones en criptomonedas.
Balancer identifica el detonante del hackeo
En el informe, publicado en su cuenta de X el miércoles, el equipo de Balancer identificó su función de EXACT_OUT dentro de la función batchSwap de la bóveda v2 como la puerta para el ataque del 3 de noviembre.
El incidente, detectado tempranamente por el socio de seguridad de Balancer, Hypernative, explotó una implementación defectuosa en los pools estables compuestos o CSP, permitiendo a los atacantes manipular saldos de liquidez por debajo de los umbrales mínimos mediante el uso de factores de escalado no enteros.
Estos factores provocaron que el sistema redondeara hacia abajo en los cálculos, generando pequeñas discrepancias que facilitaron la extracción de valor y la redirección de fondos hacia los balances internos de la bóveda de Balancer para su retiro posterior.
La explotación se limitó a los CSP en Balancer v2 y sus bifurcaciones, como BEX en Berachain y Beets en Sonic, que se apresuró a congelar las direcciones de presuntos atacantes, restringiendo los movimientos de fondos vinculados a su bifurcación de Balancer. Los pools CSPv5 con ventanas de pausa expiradas fueron los más vulnerables, mientras que los CSPv6 entraron automáticamente en modo de recuperación.
Balancer v3 y todas las demás versiones permanecieron intactas. Las cifras iniciales de pérdidas, estimadas en alrededor de USD $70 millones, ascendieron a más de USD $128 millones según proveedores de análisis como Nansen y Peckshield, aunque Balancer enfatizó que estas son preliminares y que un conteo final verificado se publicará tras la reconciliación en cadena con socios.
Esfuerzo coordinado en DeFi para atender el incidente
En respuesta inmediata, colaboradores y socios de “sombrero blanco” como SEAL 911, BitFinding y StakeWise intervinieron para mitigar daños. StakeWise DAO recuperó aproximadamente USD $1,7 millones en osGNO y USD $19 millones en osETH, equivalentes al 73,5% de esos tokens robado. BitFinding y bots MEV de Base recuperaron unos USD $750.000, devueltos al DAO de Balancer.
En el ecosistema, Berachain detuvo su red y completó una bifurcación dura de emergencia el 4 de noviembre para abordar la exposición de BEX y Gnosis restringió temporalmente la actividad de puentes para evitar propagación cruzada. Monerium congeló 1,3 millones de EURe en la bóveda afectada. Parte de los activos impactados han sido recuperados o congelados.
Como medidas de mitigación, Balancer desactivó la fábrica de CSPv6 para impedir la creación de nuevos pools vulnerables, detuvo los medidores de liquidez en pools afectados para cesar emisiones adicionales y habilitó salidas de liquidez para retiros seguros.
La automatización de emergencia de Hypernative pausó automáticamente los pools v6. El marco legal Safe Harbor (BIP-726) del protocolo facilitó la intervención de hackers éticos sin riesgos legales, acelerando la respuesta. Un informe final con pérdidas y recuperaciones confirmadas se espera una vez completadas las validaciones de todos los socios.
Artículo redactado con ayuda de IA, editado por DiarioBitcoin
Imagen de Unsplash
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Berachain cerca de reiniciarse tras hackeo: bifurcación dura lista y hacker entrega fondos robados
Stream Finance suspende depósitos y retiros en su protocolo DeFi tras perder USD $93 millones
Berachain se detiene para una bifurcación dura de emergencia tras hackeo a Balancer
