Balancer Hack 2025: $128M Explotación y Riesgos Sistémicos de DeFi Expuestos

El hackeo de Balancer en 2025 ha enviado ondas de choque a través del ecosistema DeFi, con un exploit de $128 millones dirigido a sus pools estables composables V2, destacando vulnerabilidades en la gestión de liquidez y planteando preguntas urgentes sobre las limitaciones de auditoría y la interoperabilidad de los protocolos.

El Hackeo de Balancer: $128 Millones Drenados de Pools V2

El 3 de noviembre de 2025, Balancer V2 sufrió una brecha devastadora, perdiendo $128 millones en siete cadenas, incluyendo Ethereum ($100 millones), Arbitrum ($8 millones), Base ($3.95 millones), Sonic ($3.4 millones), Optimism ($1.57 millones), Polygon ($230,000), y otros. El ataque explotó una comprobación defectuosa en el control de acceso en la función manageUserBalance, permitiendo a los hackers suplantar a los propietarios de tarifas para siphonar activos como WETH, wstETH y osETH. Este no es el primer incidente de Balancer—los exploits anteriores subrayan los riesgos de los contratos de larga duración, con TVL ahora reducido a $1.2 mil millones y protocolos bifurcados enfrentando salidas masivas.

• Ruptura bajista: $128M total; 90% de pools estables composables.
• Activos afectados: WETH, wstETH, osETH, frxETH, rsETH, rETH.
• Impacto en cadenas: 7 redes; 27 forks en riesgo.

Mecánica del Ataque: Control de Acceso Defectuoso y Suplantación

El exploit dependió de una validación defectuosa en el contrato de la Bóveda de Balancer, donde los atacantes crearon instrucciones maliciosas para eludir las verificaciones de propiedad. Usando UserBalanceOpKind.WITHDRAW_INTERNAL, engañaron al sistema para realizar retiros no autorizados, manipulando callbacks para ejecutar intercambios sin permisos. Firmas de seguridad como PeckShield confirmaron que no hubo filtraciones de claves privadas—fue un fallo puro del contrato inteligente, explotando pools interconectados para un drenaje rápido. Este “efecto mariposa” se propagó a protocolos bifurcados, amplificando los riesgos sistémicos en el modelo de composabilidad de DeFi.

Riesgos Sistémicos: 27 forks y consecuencias en múltiples cadenas

La vulnerabilidad de Balancer V2 se extendió a 27 protocolos bifurcados, afectando a Ethereum, Berachain y otros, provocando respuestas de emergencia como pausas en la cadena y retiros de posiciones. Berachain pausó su red para un hard fork, deshabilitando puentes y deteniendo depósitos en USDe, mientras Sonic congeló las billeteras de los hackers. El incidente expuso brechas en las auditorías—a pesar de revisiones por Certora y OpenZeppelin—, combinando privacidad con escalabilidad, y alimentando debates sobre la descentralización frente a la protección del usuario. Con un TVL de más de $150 mil millones, tales exploits podrían desencadenar llamadas de colateral por más de $1 mil millones, subrayando la fragilidad de DeFi.

Respuesta de la Industria: Pausas, auditorías y controversias

El hackeo provocó acciones inmediatas:

• Pausas en la cadena: Fork de emergencia de Berachain y congelación de billeteras de Sonic.
• Retiro de posiciones: Lido retiró sus tenencias no afectadas.
• Investigaciones: PeckShield y Decurity investigan la falla.

Los debates sobre “el costo de la descentralización” continúan, con herederos de Hal Finney y analistas argumentando que las pausas socavan la confianza, mientras otros elogian la seguridad del usuario. La dirección del hacker, vinculada a $128M, continúa lavando fondos a través de Mixero, con $17M intercambiados a ETH/USDC.

Contexto histórico: El legado de vulnerabilidades de Balancer

Balancer, pionero en AMM en 2017, ha enfrentado múltiples exploits, incluyendo el drenaje de 2022 y la pérdida de 2021, a pesar de auditorías. La falla de V2, en un contrato de 2021, expone los riesgos del código de larga duración, lo que según expertos, retrasa DeFi entre 6 y 12 meses. Protocolos bifurcados como Velodrome y Solidly enfrentan amenazas similares, subrayando la espada de doble filo de la composabilidad.

Reflexiones más profundas: Límites de auditoría y dilema de DeFi

El hackeo revela:

• Deficiencias en auditoría: Incluso revisiones de varias firmas pueden pasar por alto casos límite.
• Riesgos de la composabilidad: Pools interconectados amplifican fallos individuales.
• Descentralización vs. Seguridad: Las pausas salvan fondos pero desafían los ideales.

Se hace un llamado a diseños modulares, monitoreo en tiempo real y pruebas ZK para accesos verificables.