En 5 años, 6 incidentes con pérdidas superiores a 100 millones: historial de ataques de hackers al veterano protocolo DeFi Balancer

Chainfeeds Guía de lectura:

Para los observadores, DeFi es un experimento social novedoso; para los participantes, ser hackeado en DeFi es una lección costosa.

Fuente del artículo:

TechFlow

Opinión:

TechFlow: El equipo oficial de Balancer publicó rápidamente un comunicado tras el incidente, reconociendo la detección de una vulnerabilidad que podría afectar a los pools V2 y afirmando que los equipos de ingeniería y seguridad estaban investigando el evento con máxima prioridad. Indicaron que publicarían los resultados de la verificación y las medidas posteriores una vez que tuvieran más información. Al mismo tiempo, el equipo anunció que estaba dispuesto a ofrecer una recompensa de sombrero blanco del 20% de los activos robados para recuperar los fondos, con un plazo de 48 horas. Aunque la respuesta fue rápida, aún sonó burocrática y no logró calmar la ansiedad de la comunidad. Para los veteranos de DeFi, los hackeos a Balancer se han vuelto casi una noticia cíclica. Desde su fundación en 2020, este protocolo, que alguna vez fue aclamado como un market maker flexible, ha sufrido seis incidentes de seguridad en cinco años, enfrentando casi un ataque anual. En junio de 2020, Balancer perdió aproximadamente 520,000 dólares debido a una vulnerabilidad en el manejo del token deflacionario STA. El atacante aprovechó la característica de STA de quemar automáticamente el 1% de la tarifa de transferencia, tomó prestados 104,000 ETH de dYdX y realizó 24 transacciones en bucle dentro del pool hasta agotar todo el STA, dejando solo 1 wei, y luego intercambió ETH, WBTC, LINK y SNX a un precio extremadamente desbalanceado. Este evento marcó la primera gran derrota de Balancer y reveló la base frágil del protocolo en el diseño de compatibilidad con tokens complejos. En los años siguientes, Balancer sufrió repetidos incidentes de seguridad. En marzo de 2023, fue afectado indirectamente por el ataque a Euler Finance, perdiendo aproximadamente 11.9 millones de dólares. En ese momento, Euler sufrió un ataque de flash loan de 197 millones de dólares, y el pool bb-e-USD de Balancer, que poseía eToken de Euler, vio cómo los fondos afectados se transferían a Euler, representando el 65% del TVL de ese pool. Aunque el equipo congeló el pool de emergencia, las pérdidas no pudieron recuperarse. En agosto del mismo año, el pool V2 sufrió un ataque por una vulnerabilidad de "error de redondeo". El atacante explotó una desviación de precisión en el Boosted Pool, generando un cálculo anómalo en el suministro de BPT y extrajo activos a una tasa de cambio injusta. Aunque Balancer advirtió proactivamente el 22 de agosto y pidió a los usuarios que retiraran sus fondos, cinco días después el hacker logró ejecutar el ataque, causando una pérdida de aproximadamente 2.1 millones de dólares. En septiembre ocurrió un incidente de secuestro de DNS, donde el hacker, mediante ingeniería social, comprometió al registrador EuroDNS y secuestró el dominio balancer.fi, redirigiendo a los usuarios a un sitio de phishing y utilizando el contrato malicioso Angel Drainer para inducir autorizaciones de transferencia. Aunque este incidente no fue una vulnerabilidad de contrato inteligente, mostró la fragilidad de los protocolos Web3 en la capa de seguridad de Internet tradicional. En junio de 2024, el proyecto bifurcado de Balancer, Velocore, fue hackeado, perdiendo 6.8 millones de dólares debido a una vulnerabilidad de desbordamiento en el diseño del pool CPMM, lo que resalta el riesgo sistémico de la arquitectura tipo Balancer. El ataque de noviembre de 2025 es el más grave hasta la fecha. Las firmas de seguridad Decurity y Defimon Alerts señalaron que la vulnerabilidad se originó en un error de lógica de control de acceso en la función manageUserBalance del protocolo V2. Normalmente, el sistema debería verificar si el llamador es el propietario de la cuenta, pero el código verificaba erróneamente si msg.sender era igual al parámetro personalizado op.sender del usuario. Como op.sender puede ser introducido arbitrariamente por el usuario, el atacante pudo falsificar la identidad y eludir la verificación de permisos para ejecutar la operación WITHDRAW_INTERNAL, extrayendo activos directamente de cualquier cuenta del tesoro. En otras palabras, cualquiera podía hacerse pasar por el propietario de cualquier cuenta y retirar fondos. Es sorprendente que un error tan básico de control de acceso ocurra en un protocolo maduro con cinco años de funcionamiento. Mirando atrás, la complejidad y rápida iteración de Balancer han llevado a una constante difuminación de los límites de seguridad: el diseño de pools de pesos personalizados con hasta ocho tokens, aunque aumenta la flexibilidad, amplía exponencialmente la superficie de ataque. Con la acumulación de funciones y deuda técnica, la estructura de código de Balancer se asemeja a una torre de bloques frágil. La última vulnerabilidad revela no solo un error de contrato, sino también una preocupación sobre la trayectoria de desarrollo de DeFi: bajo la fiebre narrativa y de capital, la robustez del código parece haberse convertido en una consideración secundaria.