Por Canuto  

Balancer, el protocolo DeFi, sufrió el mayor exploit conocido de su historia cuando más de USD $110.000.000 en activos —incluyendo 6.850 osETH, 6.590 WETH y 4.260 wstETH— fueron movidos a nuevas carteras. El fallo técnico en la función manageUserBalance permitió retiros internos no autorizados y dejó expuestos servicios construidos sobre Balancer v2.

***

  • Más de USD $110.000.000 en cripto fueron drenados, según CoinDesk.
  • La vulnerabilidad provino de validateUserBalanceOp y la operación UserBalanceOpKind.WITHDRAW_INTERNAL, según la herramienta Decurity.
  • Beets Finance reportó pérdidas superiores a USD $3.000.000 y el token BAL cayó más del 5%.

Balancer, un protocolo de finanzas descentralizadas con más de USD $750.000.000 en valor bloqueado, registró el que parece ser su exploit más grande hasta la fecha.

Según datos en la cadena analizados por CoinDesk y publicados el 3 de noviembre de 2025, los atacantes movieron más de USD $110.000.000 en activos a nuevas carteras.

Los fondos identificados incluyen 6.850 osETH, 6.590 WETH y 4.260 wstETH. Estas cifras coinciden con las direcciones y transacciones públicas examinadas por CoinDesk.

La historia fue actualizada a las 9:26 a.m. UTC del 3 de noviembre de 2025 para reflejar el nuevo valor del exploit y aportar más contexto técnico sobre cómo ocurrió el ataque.

El equipo de Balancer aún no ha emitido una declaración oficial que explique alcance y medidas inmediatas, según reportes públicos.

Cómo funcionó la explotación

La raíz del problema fue un control de acceso defectuoso en la función manageUserBalance, informó la herramienta de seguridad Decurity, citada por CoinDesk.

Decurity detectó que la vulnerabilidad provenía de validateUserBalanceOp, que compara msg.sender frente a un op.sender proporcionado por el usuario. Ese fallo lógico permitió activar retiradas internas mediante la operación UserBalanceOpKind.WITHDRAW_INTERNAL sin permisos adecuados.

En términos prácticos, el atacante pudo solicitar retiros internos desde los contratos centrales de Balancer y extraer liquidez de las vaults afectadas.

El diseño de Balancer v2 concentra la contabilidad de tokens en una bóveda central. Este patrón simplifica la construcción de pools, pero también implica que una falla en esa bóveda puede exponer múltiples servicios conectados.

CoinDesk señala que, por ese diseño, varios servicios y pools se vieron impactados en las mismas o sucesivas operaciones, ampliando el alcance del robo.

Impacto en el ecosistema y protocolos afectados

Además de las bóvedas principales de Balancer, el ataque afectó a servicios construidos sobre Balancer v2. Beets Finance confirmó que fue impactado y reportó pérdidas superiores a USD $3.000.000.

DefiLlama estima que hay más de USD $60.000.000 bloqueados en servicios que dependen de Balancer V2. Esa exposición abre a esos fondos al riesgo de drenaje si no implementan mitigaciones adicionales.

CoinGecko registró que el token BAL cayó más de 5% desde su pico del lunes tras conocerse el incidente, un reflejo inmediato de la preocupación del mercado.

El episodio marca la tercera brecha de seguridad conocida para Balancer, después de incidentes en 2021 y 2023 que, en conjunto, costaron millones de dólares al ecosistema.

La dirección del explotador ya empezó a consolidar activos, lo que ha generado alertas sobre posibles operaciones de lavado mediante mixers descentralizados o puentes entre cadenas.

Implicaciones técnicas y riesgos legales

El vector técnico identificado por Decurity ilustra un fallo de autorización en la verificación de remitentes dentro de una operación compuesta por el usuario.

Cuando un contrato permite que op.sender sea suministrado por el usuario sin validar adecuadamente msg.sender, se abre una ventana para que actores maliciosos ejecuten operaciones internas no permitidas.

Este tipo de fallo subraya la importancia de auditorías y validaciones formales en funciones que manipulan saldos agregados, especialmente en diseños que centralizan contabilidad como Balancer V2.

Desde la perspectiva legal y de cumplimiento, la consolidación de activos por parte del explotador incrementa la probabilidad de intentos de ocultamiento, lo que podría desencadenar monitoreos por parte de entidades de cumplimiento y proveedores de análisis on-chain.

Si los fondos pasan por mixers o puentes, rastrearlos se volverá más complejo y aumentará la presión sobre equipos y exchanges para colaborar con investigación forense.

Recomendaciones para usuarios y protocolos

Los proveedores que dependen de Balancer v2 deben revisar sus controles y considerar pausas o medidas de emergencia si el contrato madre muestra comportamiento anómalo.

Los usuarios con liquidez en pools vinculados a Balancer V2 deben monitorear las comunicaciones oficiales y evitar interactuar con contratos desconocidos hasta que el equipo ofrezca guía clara.

Los custodios y exchanges deberían ajustar alertas para las direcciones que consolidan los fondos, e impedir conversiones que faciliten el blanqueo sin diligencias.

Los desarrolladores de protocolos pueden mitigar riesgos futuros aplicando pruebas de invariantes, validaciones estrictas de remitentes y controles adicionales en operaciones internas críticas.

CoinDesk será una fuente a vigilar para actualizaciones, mientras que auditoras y herramientas de análisis on-chain podrían publicar más hallazgos en las próximas horas.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados