El hackeo de Balancer revela meses de planificación detrás del robo de criptomonedas de USD 116 millones

El rastro en cadena dejado por el explotador detrás del hackeo de Balancer de USD 116 millones ha revelado una operación metódica y de alto nivel que puede haber estado en movimiento durante meses.

El atacante ejecutó cada paso con precisión quirúrgica, utilizando múltiples depósitos de Tornado Cash de 0.1 Ether para enmascarar el origen de los fondos y evitar la identificación.

Los datos en cadena indican meses de planificación, financiados a través de transferencias sigilosas de Tornado Cash.

Los analistas de seguridad sugieren que la escala de la violación y la disciplina operativa del atacante reflejan una creciente sofisticación en los exploits de finanzas descentralizadas (DeFi), que se parecen cada vez más a las campañas cibernéticas patrocinadas por el estado en la planificación y ejecución.

El patrón sigiloso apunta a una configuración a largo plazo

Balancer, el exchange descentralizado y creador de mercado automatizado, confirmó el exploit el lunes, informando una pérdida de aproximadamente USD 116 millones en varios activos digitales.

La cuenta del atacante recibió fondos a través de un patrón de pequeños depósitos de Tornado Cash, un protocolo de privacidad que a menudo se usa para ocultar los orígenes de los fondos.

El analista de blockchain Conor Grogan dijo en una publicación de X que la cuenta del explotador se financió inicialmente con 100 Ether ya en Tornado Cash, lo que sugiere que el individuo puede haber estado involucrado en hackeos anteriores.

Grogan señaló que los usuarios rara vez almacenan sumas tan grandes en mezcladores, señalando la experiencia del atacante y la planificación cuidadosa.

Balancer ha ofrecido al hacker una recompensa del 20% si los fondos se devuelven en su totalidad, excluyendo la recompensa, antes del miércoles.

La plataforma dijo que está colaborando con investigadores de seguridad para producir una autopsia detallada del incidente.

Los analistas lo llaman un exploit complejo de DeFi

Según la firma de seguridad blockchain Cyvers, el exploit Balancer representa uno de los ataques más complejos vistos este año.

Los atacantes lograron eludir las capas de control de acceso y manipular directamente los saldos de activos, exponiendo una debilidad crítica en la gobernanza en lugar de en la lógica central de contratos inteligentes de Balancer.

Deddy Lavid, cofundador y director ejecutivo de Cyvers, dijo que el evento subraya los límites de las auditorías de código estático.

Argumentó que el monitoreo continuo en tiempo real de las transacciones es esencial para detectar anomalías antes de que se agoten los fondos.

Los expertos de la industria creen que este cambio hacia la vigilancia persistente ahora es inevitable, ya que las plataformas DeFi se enfrentan a atacantes que prueban las defensas con meses de anticipación.

Paralelismos con la actividad del Grupo Lazarus

La violación de Balancer ha generado comparaciones con el Grupo Lazarus de Corea del Norte, cuyos patrones de actividad muestran niveles similares de preparación.

Los datos de Chainalysis indican que las transacciones ilícitas vinculadas a los piratas informáticos norcoreanos cayeron drásticamente después de julio de 2024, luego de un aumento a principios de ese año. Los analistas interpretaron la pausa como una pausa estratégica para reagruparse e identificar nuevos objetivos.

La desaceleración precedió al hackeo de Bybit de USD 1.4 mil millones, que tardó solo 10 días en lavarse a través del protocolo descentralizado de cadena cruzada THORChain.

La velocidad y la coordinación de esa operación sugieren el uso de automatización sofisticada y tuberías de lavado planificadas previamente, técnicas que ahora aparecen en exploits independientes como el caso Balancer.

DeFi se enfrenta a una creciente amenaza de seguridad

El hackeo de Balancer refleja una era emergente de robo cibernético profesionalizado en las finanzas descentralizadas.

A diferencia de los rug pulls oportunistas o las estafas de phishing, los exploits modernos se basan cada vez más en cadenas de financiación disciplinadas, ofuscación automatizada y vectores de ataque dirigidos a mecanismos de gobernanza en lugar de fallas técnicas.

Los investigadores creen que el incidente de Balancer demuestra cómo los atacantes están evolucionando más rápido que los modelos de seguridad actuales de DeFi.

A medida que el sector se expande, los expertos advierten que la distinción entre sindicatos criminales y piratas informáticos vinculados al estado se está difuminando, y ambos grupos comparten herramientas, infraestructura y tácticas.

La investigación de Balancer continúa, y el proyecto insta a los exchanges y proveedores de billeteras a monitorear las entradas sospechosas.

El resultado podría dar forma a cómo la industria DeFi replantea los marcos de seguridad, las auditorías y los mecanismos de seguros en los próximos años.