Hacker sustrae más de 128 millones de dólares de los pools v2 de Balancer

noviembre 4, 2025

Hacker sustrae más de 128 millones de dólares de los pools v2 de Balancer

Resumen del incidente

El 3 de noviembre de 2025 la comunidad de Balancer confirmó que sus pools v2 habían sido blanco de un ataque. Según el anuncio público, las pérdidas se estiman en más de 128 millones de dólares.

“The Balancer Protocol announced that hackers had targeted its v2 pools, with losses reportedly estimated to be more than $128 million.”

Los detalles técnicos completos del ataque no han sido difundidos en el anuncio inicial; la cifra de impacto proviene de estimaciones públicas y del seguimiento on‑chain realizado por analistas del ecosistema.

Contexto y antecedentes

Balancer es un protocolo de finanzas descentralizadas (DeFi) que proporciona mercados automatizados de liquidez (AMM) y permite que usuarios creen pools con múltiples activos y pesos personalizados. Su versión v2 introdujo mejoras arquitectónicas y funcionalidades que favorecen eficiencia y composabilidad, pero también aumentan el perímetro de riesgo debido a mayor complejidad.

¿Por qué importa este ataque? En DeFi, incidentes a gran escala erosionan la confianza de los proveedores de liquidez, afectan precios de activos y pueden tener efectos en cascada sobre otros contratos y servicios que compositan esos pools. Además, pérdidas de este tamaño atraen atención regulatoria y elevan la prima de riesgo para custodios y aseguradoras del espacio cripto.

El ecosistema ha visto incidentes comparables y ampliamente documentados que sirven de referencia:

  • DAO (2016): uno de los primeros grandes ataques que llevó a la bifurcación de Ethereum.
  • Poly Network (2021): exfiltración de cientos de millones, en gran parte devueltos posteriormente.
  • Wormhole (2022) y Ronin (2022): exploits en bridges y sistemas de consenso que demostraron la fragilidad de puntos centrales en infraestructuras descentralizadas.

Análisis técnico y comentario para profesionales

Sin información forense pública completa sobre el vector exacto empleado en este ataque a Balancer v2, los equipos de riesgo y auditoría deben asumir, por prudencia, escenarios múltiples que explican cómo un actor puede extraer valores de un protocolo AMM avanzado:

  • Vulnerabilidades en contratos inteligentes: errores lógicos, condiciones de contención o cálculos de precios que pueden ser manipulados a través de transacciones atomizadas.
  • Composabilidad y dependencia entre contratos: un fallo en un servicio adyacente (oráculo, router, vault) puede amplificar el impacto.
  • Privilegios administrativos y mecanismos de actualización: claves comprometidas, multisigs mal configuradas o procesos de upgrade sin time‑locks pueden facilitar cambios maliciosos.
  • Vectores off‑chain: credenciales, claves de lanzamiento o infraestructura de CI/CD comprometida que permiten desplegar código no deseado.

Para equipos técnicos y auditores, las recomendaciones de práctica avanzada incluyen:

  • Revisiones formales y pruebas de invariantes: aplicar métodos de verificación, fuzzing y pruebas de propiedades concretas sobre invariantes económicos del pool.
  • Simulaciones de ataque y “red‑team” interno: replicar escenarios de manipulación de precios, frontrunning, reentrancy y abuso de composabilidad.
  • Segmentación de privilegios y time‑locks robustos: todas las actualizaciones con ventanas de tiempo suficientes para auditoría pública y posibilidad de intervención multisig con signatarios independientes.
  • Telemetría on‑chain y alertas en tiempo real: métricas de slippage, flujos de liquidez y patrones anómalos que disparen circuit breakers automáticos.
  • Plan de respuesta a incidentes y relaciones con exchanges y casas de custodia: procesos preestablecidos para coordinación de congelado de fondos y recuperación forense.

Riesgos, implicaciones y recomendaciones prácticas

El ataque a Balancer v2 subraya riesgos sistémicos y ofrece lecciones prácticas tanto para operadores de protocolo como para usuarios finales y custodios:

  • Riesgo de contagio: protocolos que usan los activos de Balancer pueden ver efectos de precio y liquidez en cascada. Monitoreo cross‑protocol es esencial.
  • Impacto reputacional y regulatorio: incidentes de alto valor suelen atraer la mirada de reguladores y pueden acelerar requerimientos de transparencia y controles operativos.
  • Capacidad de rastreo on‑chain: aunque las transferencias son públicas, los atacantes suelen mezclar o usar servicios off‑chain para blanquear fondos; cooperación con empresas de análisis blockchain es crítica.

Recomendaciones accionables:

  • Para equipos de protocolo:
    • Habilitar pausas administrativas y límites de extracción por defecto en pools nuevos.
    • Auditorías externas periódicas y bounty programs con remuneración competitiva.
    • Implementar y probar planes de respuesta con firmas forenses on‑chain (Chainalysis, TRM, Elliptic u otros).
  • Para proveedores de liquidez y usuarios:
    • Reducir exposición en pools complejos o con parámetros que no entiendan completamente.
    • Revisar y minimizar permisos de token (approvals) desde wallets; usar wallets con límites por contrato o soluciones de firma por hardware.
    • Considerar cobertura de seguro en plataformas reputadas y diversificar riesgos entre protocolos.
  • Para exchanges y custodios:
    • Monitorear depositantes de fondos potencialmente ligados al exploit y coordinar con equipos forenses para congelado temporal cuando sea legalmente y técnicamente viable.

Conclusión

El ataque sufrido por los pools v2 de Balancer y la estimación de más de 128 millones de dólares subrayan que, pese a la madurez creciente del ecosistema DeFi, la velocidad de innovación muchas veces supera a la de los controles de seguridad. Para mitigar impactos futuros son necesarias auditorías continuas, telemetría en tiempo real, procedimientos de gobernanza con retardos y mayor colaboración entre proyectos, custodios y firmas forenses. Los proveedores de liquidez y usuarios deben asumir una gestión activa del riesgo: diversificar, limitar permisos y exigir transparencia operativa a las plataformas en las que participan.

Source: www.bleepingcomputer.com

Comparte este Blog

LinkedIn
X
WhatsApp
Facebook
Telegram
Email

Más de la categoría

ChatGPT añade «formatting blocks» para adaptar su interfaz a tareas específicas
Noticias Ciberseguridad
MacSync para macOS se distribuye como app firmada y notarizada para eludir Gatekeeper
Noticias Ciberseguridad
Dos extensiones de Chrome detectadas robando credenciales en más de 170 sitios
Noticias Ciberseguridad
Revisiting CVE-2025-50165: fallo crítico en Windows Imaging Component y su alcance real
Noticias Ciberseguridad