Hackeo del protocolo Balancer: ¿qué pasó?

Balancer, uno de los creadores de mercado automatizados más establecidos de Ethereum, ha sufrido lo que parece ser su mayor exploit.

Más de 100 millones de dólares en activos digitales fueron drenados de sus bóvedas en un sofisticado ataque que ha conmocionado al ecosistema de las criptomonedas.

Millones drenados de las bóvedas de Balancer

El 3 de noviembre de 2025, las empresas de seguridad blockchain comenzaron a hacer sonar la alarma después de que los datos en cadena mostraran salidas masivas del contrato de bóveda principal de Balancer.

Según PeckShield, más de USD 128 millones en activos, incluidos osETH, WETH y wstETH, se retiraron de la "0xBA1... BF2C8".

Los activos robados se trasladaron rápidamente a billeteras externas, con una billetera principal que consolidó decenas de millones de dólares en múltiples cadenas.

Balancer pronto confirmó el conocimiento de un "posible exploit que afecta a los grupos de Balancer V2", afirmando que sus equipos de ingeniería y seguridad estaban investigando con urgencia.

El exploit afectó a las bóvedas de la versión 2 de Balancer, que contienen todos los tokens de cada grupo de Balancer en un contrato central en lugar de en contratos de grupo separados.

Este diseño, introducido para simplificar la creación y administración de grupos, ahora parece haber creado un único punto de vulnerabilidad que los atacantes aprovecharon.

Cómo funcionó el exploit

Los primeros análisis de las firmas de seguridad Decurity y PeckShield apuntan a un control de acceso defectuoso en la función manageUserBalance de Balancer.

El error se originó en la comprobación validateUserBalanceOp, que comparó incorrectamente msg.sender con un op.sender proporcionado por el usuario.

Esta falla lógica permitió a los atacantes desencadenar retiros internos no autorizados utilizando la operación UserBalanceOpKind.WITHDRAW_INTERNAL, lo que les permitió drenar fondos de la bóveda central de Balancer sin permiso.

BlockSec Phalcon luego proporcionó una mirada más profunda a la mecánica detrás del exploit.

La firma lo describió como un ataque altamente sofisticado que manipuló el invariante utilizado para calcular los precios de Balancer Pool Token (BPT).

En Arbitrum, por ejemplo, el atacante ejecutó una serie de swaps que distorsionaron el cálculo del precio del pool al explotar los errores de redondeo.

Al desinflar el precio de BPT, el atacante pudo beneficiarse de un intercambio por lotes y luego restaurar el equilibrio, embolsándose millones en el proceso.

El impacto del hackeo se extiende a través de cadenas y tenedores

El ataque de Balancer no se limitó a Ethereum.

Los analistas observaron salidas coordinadas en varias cadenas, incluidas Sonic, Polygon y Base.

Los proyectos bifurcados que dependen de la infraestructura de Balancer también se vieron afectados. Beets Finance, una de esas bifurcaciones, confirmó pérdidas de alrededor de 3 millones de dólares.

Cyvers Alerts informó que una de las billeteras del atacante había sido financiada a través de Tornado Cash antes de que comenzara el exploit.

Posteriormente, la dirección recibió más de 84 millones de dólares en múltiples cadenas, lo que generó serias preocupaciones sobre el posible lavado a través de mezcladores descentralizados y puentes entre cadenas.

En medio del caos, una billetera de ballena que había estado inactiva durante más de tres años retiró 6,5 millones de dólares de Balancer, aparentemente por temor a que la situación pudiera empeorar.

El tercer gran hackeo para Balancer

Este último exploit marca la tercera violación importante de Balancer desde 2020.

El primero involucró tokens deflacionarios y costó alrededor de USD 500,000, mientras que el segundo en 2023 se centró en sus "grupos impulsados", lo que resultó en casi USD 900,000 en pérdidas.

Esta vez, la escala es exponencialmente mayor, lo que lo convierte en uno de los ataques DeFi más dañinos de 2025.

El token BAL nativo de Balancer reaccionó bruscamente a la noticia, cayendo más del 10% intradía y más del 15% desde su máximo semanal.

Con más de 750 millones de dólares en valor total bloqueados antes del ataque, el incidente plantea renovadas preocupaciones sobre los riesgos de los complejos sistemas de contratos inteligentes y la fragilidad de la infraestructura DeFi interconectada.

Investigación en curso

A partir de ahora, el equipo de Balancer no ha publicado una autopsia detallada, aunque se están llevando a cabo investigaciones en varias empresas de seguridad.

La billetera del atacante permanece activa y no se ha recuperado ninguno de los fondos robados.

Los analistas advierten que si existen vulnerabilidades similares en las bifurcaciones de Balancer o en los protocolos integrados, podrían producirse más pérdidas.