- Exploit en Balancer escaló de estimaciones iniciales de 70M a más de 128M en pérdidas.
- La causa probable fue un fallo de control de acceso en V2 que permitió retiros no autorizados.
- Afectó varias redes: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism y Polygon.
- El protocolo ofreció recompensa del 20%; se registró caída del token BAL y parón de emergencia en Berachain.
El protocolo de finanzas descentralizadas Balancer ha registrado uno de sus mayores incidentes de seguridad hasta la fecha, con un ataque que comenzó reportándose en torno a 70 millones de dólares y que, según los datos consolidados más recientes, habría superado con holgura los 128 millones en activos drenados a nuevas carteras.
Los fondos comprometidos incluyen osETH, WETH y wstETH, y se habrían retirado principalmente desde pools de la versión V2. La actividad maliciosa se extendió por varias redes, mientras el token BAL sufría caídas intradía y los usuarios aguardaban confirmaciones oficiales sobre el alcance real del incidente.
Cómo ocurrió el ataque
Los análisis iniciales apuntan a un control de acceso defectuoso en la función manageUserBalance de Balancer V2. La vulnerabilidad se originaría en validateUserBalanceOp, al comparar de manera incorrecta msg.sender con un op.sender proporcionado por el usuario, lo que habría permitido retiros no autorizados a través de la operación UserBalanceOpKind.WITHDRAW_INTERNAL.
Este vector abrió la puerta a que actores maliciosos desencadenaran movimientos de saldo interno directamente desde los contratos sin permisos adecuados. La Vault de V2 —el contrato central que custodia los tokens de cada pool— quedó en el foco, afectando no solo a Balancer sino también a servicios construidos sobre su arquitectura.
En paralelo, se detectaron vaciamientos de bóvedas en redes como Sonic, Polygon y Base, lo que refuerza el carácter interconectado del ecosistema DeFi. La dirección del explotador comenzó a consolidar activos rápidamente, elevando el riesgo de su posterior ofuscación mediante mezcladores o puentes entre cadenas.
Equipos de seguridad especializados, entre ellos Decurity y analistas de datos on-chain, siguen rastreando el flujo de fondos y el posible encadenamiento de transacciones, con el objetivo de perfilar al atacante y delimitar con precisión la superficie de la brecha.
Alcance del daño y distribución por cadenas
Las últimas estimaciones elevan el total drenado a alrededor de 128,64 millones de dólares, con un peso dominante de Ethereum y un impacto significativo en varias L2 y redes compatibles. También se confirmó que Beets Finance, proyecto derivado, sufrió pérdidas superiores a 3 millones.
- Ethereum: ~99,6M
- Berachain: ~12,86M
- Arbitrum: ~6,96M
- Base: ~4,01M
- Sonic: ~3,44M
- Optimism: ~1,58M
- Polygon: ~232.350
Entre los activos drenados destacaron 6.850 osETH, 6.590 WETH y 4.260 wstETH, transferidos en sucesión rápida hacia nuevas carteras, un patrón coherente con un atacante conocedor de la lógica de los contratos y de la composición de los pools.
Para incentivar la devolución de fondos, el equipo de Balancer puso sobre la mesa una recompensa del 20% en formato white hat, condicionada a la restitución inmediata del resto del capital. En caso contrario, se advirtió de la colaboración con forenses blockchain y autoridades para identificar al responsable.
La repercusión alcanzó también a la infraestructura: Berachain ejecutó una detención de emergencia y un hard fork orientado a acotar el impacto sobre activos específicos en su DEX nativa, con el compromiso de reanudar la red tras la recuperación de los fondos afectados.
Respuesta del protocolo y efectos en el mercado
El equipo señaló que los pools V2 fueron los afectados, mientras que V3 continuaba operativa y sin daños, y comunicó que sus áreas de ingeniería y seguridad investigan con prioridad para determinar medidas de contención y potenciales vías de recuperación.
En el frente del mercado, el token BAL registró descensos de más del 5% tras conocerse el ataque, en un contexto de cautela generalizada en la comunidad DeFi. Analistas on-chain recomendaron evitar interactuar con los pools de Balancer hasta contar con información técnica completa.
Este incidente se suma a episodios previos: en 2020, un ataque explotó el manejo de tokens deflacionarios por unos 500.000 dólares; en agosto de 2023 se notificaron pérdidas cercanas a 1 millón por una vulnerabilidad en boosted pools; y ese mismo año un ataque de DNS redirigió a una web de phishing, con un botín aproximado de 238.000 dólares.
Para usuarios de España y la UE, el caso reabre el debate sobre la gestión de riesgos en protocolos compuestos y la necesidad de auditorías ágiles, herramientas de protección al usuario y coordinación interprotocolos, en sintonía con el impulso regulatorio europeo (MiCA) hacia estándares de seguridad más exigentes.
Con las pérdidas ya por encima de los 128 millones y una investigación activa en marcha, el episodio de Balancer deja varias lecciones: la importancia de un control de acceso robusto en funciones críticas, la revisión constante de contratos heredados en V2, y la preparación de respuestas coordinadas —incluida la opción de recompensas white hat— para mitigar daños y restaurar la confianza.
Soy un apasionado de la tecnología que ha convertido sus intereses «frikis» en profesión. Llevo más de 10 años de mi vida utilizando tecnología de vanguardia y trasteando todo tipo de programas por pura curiosidad. Ahora me he especializado en tecnología de ordenador y videojuegos. Esto es por que desde hace más de 5 años que trabajo redactando para varias webs en materia de tecnología y videojuegos, creando artículos que buscan darte la información que necesitas con un lenguaje entendible por todos.
Si tienes cualquier pregunta, mis conocimientos van desde todo lo relacionado con el sistema operativo Windows así como Android para móviles. Y es que mi compromiso es contigo, siempre estoy dispuesto a dedicarte unos minutos y ayudarte a resolver cualquier duda que tengas en este mundo de internet.