¡El informe preliminar de Balancer ya está disponible! La vulnerabilidad en la función de quema provocó un desastre de 116 millones de dólares

DeFi protocol Balancer publica un informe preliminar de análisis posterior, explicando las vulnerabilidades que permitieron el robo de 1.16 mil millones de dólares en fondos. Esta semana, Balancer sufrió un ataque complejo de código que afectó los pools de estabilidad v2 y el pool Composable Estable v5, mientras que otros tipos de pools permanecieron intactos. Los hackers combinaron el uso de BatchSwaps y la explotación de funciones de redondeo en los intercambios EXACT_OUT para robar fondos de pools de stablecoins.

Vulnerabilidad en funciones de redondeo y la combinación mortal con BatchSwaps

(Origen: X)

A principios de esta semana, Balancer fue víctima de un ataque de código sofisticado que impactó los pools de estabilidad v2 y el pool Composable Estable v5, mientras que otros tipos de pools no resultaron afectados. La precisión en la selección del objetivo del ataque demuestra un profundo entendimiento del código de Balancer, permitiendo identificar vulnerabilidades específicas en ciertos pools y evitar otros con mayor seguridad.

El atacante combinó el uso de BatchSwaps —que permite a los usuarios agrupar múltiples operaciones en una sola transacción, incluyendo préstamos flash (que toman y devuelven fondos en una misma transacción)— con la explotación de funciones de redondeo en intercambios EXACT_OUT en pools de stablecoins. La integración de estas técnicas fue clave para la complejidad del ataque.

Las funciones de redondeo en sistemas financieros, aunque parecen detalles menores, son extremadamente importantes. Estas funciones redondean hacia abajo los precios de los tokens para evitar errores de precisión. Sin embargo, el hacker manipuló estos valores de redondeo y, junto con la función de BatchSwaps, logró sustraer fondos de los pools de stablecoins. El equipo de Balancer indicó en su informe: «En muchos casos, los fondos robados permanecen en saldos internos en la tesorería, y luego se extraen mediante transacciones subsecuentes.»

La astucia del ataque radica en aprovechar los efectos acumulativos de pequeñas diferencias de redondeo. En una sola transacción, los errores de redondeo pueden ser insignificantes, de unos pocos centavos de dólar, pero al agrupar miles o decenas de miles de intercambios mediante BatchSwaps, estas pequeñas diferencias se acumulan en cantidades significativas. El uso de préstamos flash amplifica aún más este efecto, permitiendo a los atacantes operar con grandes sumas sin capital inicial, realizando arbitrajes, devolviendo préstamos y extrayendo beneficios en una sola transacción.

Análisis técnico del ataque

BatchSwaps en modo de ataque agrupado: agrupa miles de operaciones pequeñas para acumular errores de redondeo en cantidades sustanciales.

Apalancamiento con préstamos flash: permite manipular grandes sumas sin capital propio, multiplicando el alcance del ataque.

Explotación de vulnerabilidad en EXACT_OUT: apunta a debilidades específicas en funciones de redondeo en ciertos intercambios, evadiendo otras medidas de seguridad.

Desde un punto de vista técnico, este ataque revela riesgos sistémicos en la gestión de precisión numérica en protocolos DeFi. Los contratos inteligentes deben equilibrar eficiencia y precisión, pero este equilibrio puede convertirse en una vulnerabilidad explotable. La función de redondeo de Balancer funciona bien en condiciones normales, pero en operaciones extremas —como grandes transacciones en lote— puede revelar fallos.

Identidad del atacante y proceso de preparación

Es probable que los hackers sean profesionales altamente capacitados, que prepararon el ataque durante meses. Utilizaron depósitos en Tornado Cash, con pequeñas cantidades de 0.1 ETH, para financiarse y evitar ser rastreados. Tornado Cash es un servicio de mezclado de criptomonedas que rompe las trazas en la cadena, brindando privacidad, pero también siendo una herramienta preferida por criminales.

El uso de depósitos pequeños en Tornado Cash es una estrategia típica para evitar rastreo. En lugar de transferir grandes sumas de una sola vez, los hackers dispersaron fondos en cientos o miles de transacciones pequeñas, dificultando la reconstrucción del flujo de fondos incluso para análisis avanzados.

El hecho de que hayan «preparado durante meses» indica un ataque planificado con antelación. Es probable que hayan estudiado el código de Balancer, probado vectores de ataque en entornos controlados, y diseñado rutas para extraer fondos. Este nivel de preparación requiere habilidades técnicas avanzadas, profundo conocimiento de DeFi y experiencia en análisis de blockchain.

Según Deddy Lavid, CEO de Cyvers, una firma especializada en monitoreo de transacciones blockchain, este fue uno de los ataques «más complejos» de 2025, en términos de innovación técnica, sigilo y precisión en ejecución. La advertencia subraya que las amenazas en la seguridad de los fondos en línea continúan evolucionando, y que la apertura del código en DeFi, aunque promueve transparencia, también facilita que atacantes identifiquen vulnerabilidades. Los desarrolladores deben asumir que los atacantes tienen capacidades iguales o superiores.

Progresos en recuperación y colaboración comunitaria

(Origen: X)

Balancer, en colaboración con socios de seguridad y otros protocolos, ha logrado recuperar o congelar parte de los fondos robados, incluyendo aproximadamente 19 millones de dólares en 5041 ETH en stakeWise (osETH) y unos 2 millones en 13495 tokens osGNO. La recuperación total alcanza unos 21 millones de dólares, representando el 18% del total robado. Aunque no compensa completamente las pérdidas, es un caso de relativa éxito en incidentes de hacking en DeFi.

La capacidad de recuperar o congelar fondos refleja la importancia de la colaboración en el ecosistema cripto. Los tokens como osETH y osGNO pertenecen a protocolos específicos, cuyos equipos pueden identificar y bloquear direcciones sospechosas. Sin una autoridad central, esta cooperación voluntaria y el intercambio de información son cruciales para mitigar daños.

El equipo de Balancer ha suspendido todos los pools afectados y desactivado la creación de nuevos pools vulnerables hasta resolver las vulnerabilidades. Aunque esta decisión causa molestias y afecta la experiencia del usuario, es necesaria para evitar mayores pérdidas. Continuar operando pools con vulnerabilidades sería más peligroso.

Balancer ofrece una recompensa del 20% para hackers éticos y criminales que ayuden a recuperar fondos, pero hasta ahora nadie ha reclamado el premio. Este porcentaje equivale a unos 23 millones de dólares, una suma considerable. La falta de respuestas puede deberse a varias razones: los atacantes prefieren mantener el anonimato, temen represalias legales, consideran que pueden lavar y extraer todo el dinero sin necesidad de la recompensa, o están respaldados por organizaciones criminales o estados, para quienes la reputación es más importante que el dinero.

Resumen de las medidas de respuesta de Balancer

Respuesta inmediata: suspensión de pools afectados para prevenir mayores pérdidas.

Colaboración comunitaria: cooperación con protocolos como StakeWise y Gnosis para congelar tokens robados.

Comunicación transparente: publicación rápida de informes preliminares explicando el ataque y las acciones tomadas.

Incentivos económicos: oferta de recompensas del 20% para recuperar fondos, aunque aún sin respuestas.

Este incidente con el ataque a Balancer resalta nuevamente la vulnerabilidad de la seguridad en DeFi y la importancia de auditorías rigurosas.