De Balancer a Berachain, cuando la cadena es puesta en pausa

Escrito por: ChandlerZ, Foresight News

El mundo DeFi vuelve a estar en el ojo del huracán.

Varios proyectos basados en la arquitectura de Balancer V2 sufrieron el 3 de noviembre un ataque cuidadosamente diseñado, con pérdidas acumuladas que superan los 120 millones de dólares. El incidente no solo afectó a la red principal de Ethereum, sino que también se extendió a Arbitrum, Sonic, Berachain y otras cadenas, convirtiéndose en otro accidente de seguridad que sacude a toda la industria tras los casos de Euler Finance y Curve Finance.

El análisis preliminar de BlockSec indica que se trató de un "ataque de manipulación de precios de alta complejidad", cuyo núcleo radica en que el atacante distorsionó la lógica de cálculo del precio del BPT (Balancer Pool Token), aprovechando errores de redondeo en el invariante, generando distorsiones de precios y realizando arbitrajes repetidos en un solo intercambio masivo.

Tomando como ejemplo la transacción de ataque en Arbitrum, el ataque se dividió en tres fases:

• Primero, el atacante intercambió BPT por el activo subyacente, ajustando con precisión el saldo de cbETH hasta el límite de redondeo (alrededor de 9 unidades), creando las condiciones para una pérdida de precisión posterior;

• Luego, con una cantidad específica (=8), realizó un intercambio entre otro activo subyacente wstETH y cbETH. Debido al redondeo hacia abajo durante el escalado, el cálculo de Δx se redujo ligeramente, lo que subestimó Δy, haciendo que el invariante D del pool estable disminuyera y, por lo tanto, bajando el precio teórico del BPT;

• Finalmente, el atacante volvió a intercambiar el activo subyacente por BPT, obteniendo ganancias de arbitraje a partir del precio reducido.

En resumen, fue un ataque preciso basado en los límites de las matemáticas y el código.

Balancer confirmó oficialmente que los V2 Composable Stable Pools sufrieron una vulnerabilidad. Actualmente, el equipo está colaborando con los principales investigadores de seguridad para investigar y se ha comprometido a compartir un informe completo de análisis post-mortem lo antes posible. Todos los pools afectados que pueden ser pausados han sido congelados de emergencia y están en modo de recuperación. Esta vulnerabilidad solo afecta a los V2 Composable Stable Pools, sin impacto en Balancer V3 ni en otros tipos de pools.

Tras el estallido del incidente de la vulnerabilidad de Balancer V2, los proyectos que hicieron fork de Balancer experimentaron fuertes turbulencias. Según datos de DeFiLlama, hasta el 4 de noviembre, el valor total bloqueado (TVL) de los proyectos relacionados era de solo unos 49.34 millones de dólares, con una caída diaria del 22.88%. Entre ellos, BEX, el DEX nativo de Berachain, vio su TVL caer un 26.4% hasta 40.27 millones de dólares, manteniendo el 81.6% de todo el ecosistema, pero debido a la paralización de la cadena y el congelamiento de la liquidez, la salida de fondos continúa. Otro afectado, Beets DEX, sufrió una caída aún más severa, con un desplome del TVL del 75.85% en 24 horas y una caída acumulada del 79% en los últimos 7 días.

Además de los protocolos mencionados, otros DEX basados en la arquitectura de Balancer también experimentaron retiros masivos por pánico. PHUX cayó un 26.8% en un día, Jellyverse un 15.5%, y Gaming DEX se desplomó un 89.3%, quedando prácticamente sin liquidez. Incluso proyectos pequeños y medianos que no fueron afectados directamente, como KLEX Finance, Value Liquid, Sobal, etc., registraron salidas de fondos del 5% al 20%.

Comienza la reacción en cadena, Berachain realiza una bifurcación dura de emergencia

Esta vulnerabilidad originada en Balancer V2 pronto desencadenó una reacción en cadena aún mayor.

Berachain, una nueva blockchain pública construida sobre Cosmos SDK, también fue atacada en pocas horas porque BEX utilizaba la arquitectura de contratos de Balancer V2. La fundación, al detectar la anomalía, anunció rápidamente la "paralización total de la cadena".

Se sabe que pools de liquidez como USDe Tripool de BEX se vieron amenazados, con fondos afectados por unos 12 millones de dólares. El atacante utilizó la misma vulnerabilidad lógica que en Balancer, robando fondos mediante múltiples interacciones con contratos inteligentes. Dado que parte de los activos no eran tokens nativos, el equipo tuvo que recurrir a una bifurcación dura para revertir algunos bloques y así restaurar y rastrear los fondos.

Al mismo tiempo, varios protocolos del ecosistema Berachain, incluidos Ethena, Relay, HONEY, etc., tomaron medidas defensivas simultáneamente:

• Prohibición de transferencias cross-chain de USDe;

• Suspensión de depósitos relacionados con el mercado de préstamos;

• Paralización de la acuñación y redención de HONEY;

• Notificación a exchanges centralizados para incluir en la lista negra las direcciones sospechosas.

La fundación Berachain declaró que la suspensión de la red fue planificada y que la red volverá a operar normalmente en breve. La vulnerabilidad de Balancer afectó principalmente al pool triple Ethena/Honey, mediante transacciones de contratos inteligentes relativamente complejas. Dado que la vulnerabilidad afectó a activos no nativos (no solo BERA), el proceso de reversión/avance no es simplemente una bifurcación dura, por lo que, hasta que se determine la solución final, la red permanecerá suspendida para implementar una solución integral.

El 4 de noviembre, la fundación Berachain informó que el archivo binario de la bifurcación dura ya se distribuyó y algunos validadores ya se han actualizado. Antes de reanudar la producción de bloques, quieren asegurarse de que los socios de infraestructura clave necesarios para el funcionamiento on-chain (como los oráculos de liquidación) hayan actualizado sus RPC, ya que estos serán el principal obstáculo para la reanudación de la cadena. Tras completar las solicitudes RPC de los servicios principales, el equipo coordinará con puentes cross-chain, exchanges centralizados y custodios para restablecer los servicios.

Al mismo tiempo, un operador de un bot MEV de Berachain contactó a la fundación tras la suspensión de la cadena, afirmando haber actuado como "white hat" para extraer fondos y enviando un mensaje on-chain. Expresó su disposición a firmar previamente una serie de transacciones para devolver los fondos una vez que la blockchain vuelva a estar en línea.

¿Priorizar la seguridad o la descentralización?

"Sabemos que esto es polémico, pero cuando unos 12 millones de dólares en activos de usuarios están en peligro, proteger a los usuarios es la única opción". Así lo expresó Smokey The Bera, cofundador de Berachain, ante las críticas de la comunidad sobre la "centralización".

En su declaración, admitió que Berachain aún no ha alcanzado el nivel de descentralización de Ethereum, y que el mecanismo de coordinación entre validadores se parece más a un "comando de crisis" que a una red de consenso automatizada. De hecho, los nodos on-chain se detuvieron de forma sincronizada en menos de una hora tras la vulnerabilidad, demostrando la eficiencia de la toma de decisiones centralizada, pero también exponiendo el grado de centralización en la gobernanza.

La reacción de la comunidad se dividió de inmediato.

Los partidarios consideran que esta acción demuestra la responsabilidad del equipo hacia la seguridad de los usuarios, siendo una "descentralización realista"; los detractores acusan que esto viola el principio de "Code is Law", traicionando la irreversibilidad on-chain.

El detective on-chain ZachXBT comentó: "Cuando los fondos de los usuarios están en grave peligro, es una decisión difícil pero correcta".

Sin embargo, algunos desarrolladores radicales fueron directos: "Si una blockchain puede ser pausada manualmente en cualquier momento, ¿en qué se diferencia del sistema financiero tradicional?"

La sombra del incidente DAO reaparece

Este episodio ha recordado a muchos en la industria el hackeo del DAO de Ethereum en 2016. En aquel entonces, para recuperar 50 millones de dólares robados, Ethereum decidió revertir las transacciones mediante una bifurcación dura, lo que resultó en la división de la comunidad en Ethereum (ETH) y Ethereum Classic (ETC).

Nueve años después, una elección similar vuelve a presentarse.

La diferencia es que esta vez el protagonista es una blockchain pública aún en desarrollo, sin suficiente descentralización ni el respaldo de un consenso global.

La intervención humana de Berachain evitó mayores pérdidas, pero reavivó el debate filosófico sobre si la blockchain puede realmente ser autónoma.

En cierto sentido, esto también es un reflejo del ecosistema DeFi: seguridad, eficiencia y descentralización — el equilibrio entre los tres nunca se ha logrado plenamente.

Cuando los hackers pueden destruir decenas de millones de dólares en segundos, el "ideal" a menudo debe ceder ante la "realidad".

Balancer declaró que el equipo está colaborando con los principales investigadores de seguridad, planea publicar un informe completo de análisis post-mortem y advierte a los usuarios sobre posibles estafas de equipos de seguridad falsos.

Por su parte, Berachain espera reanudar gradualmente la producción de bloques y las funciones de transacción tras completar la bifurcación dura.

Sin embargo, restaurar la confianza es más difícil que reparar una vulnerabilidad. Para una blockchain pública emergente, pausar la cadena es una solución de emergencia a corto plazo, pero puede dejar cicatrices a largo plazo en la comunidad. Los usuarios cuestionarán la autenticidad de su descentralización y los desarrolladores temerán por la inmutabilidad de la red.

El mundo DeFi quizá esté redefiniendo la descentralización, no como una permisividad absoluta, sino como un consenso de compromiso mínimo en tiempos de crisis.