El intercambio descentralizado [Balancer ha sido víctima] de uno de los hacks cripto más devastadores de 2025, con atacantes drenando aproximadamente $128 millones a través de siete redes blockchain en un sofisticado exploit que eludió años de auditorías de seguridad y sacudió el ecosistema DeFi.
La brecha, que comenzó en las primeras horas del 3 de noviembre, inicialmente pareció involucrar alrededor de [$70 millones en pérdidas], según la firma de análisis blockchain [Nansen]. En pocas horas, sin embargo, investigadores de seguridad en [PeckShield revelaron la verdadera magnitud] del ataque: $128.64 millones robaron a través de las redes Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism y Polygon.
Los atacantes se movieron rápidamente, transfiriendo [6,587 WETH por un valor de $24.46 millones, 6,851 osETH valorados en $26.86 millones, y 4,260 wstETH por un valor de $19.27 millones] a billeteras recién creadas antes de comenzar a convertir los derivados líquidos de staking robados a Ethereum. La plataforma de análisis blockchain [Lookonchain informó] que el hacker inmediatamente comenzó a intercambiar activos robados por ETH, elevando preocupaciones sobre el potencial blanqueo a través de mezcladores descentralizados o puentes de cadena cruzada.
Desglose Técnico: Cómo se desarrolló el ataque
El exploit se dirigió a una [vulnerabilidad crítica en las Composable Stable Pools V2 de Balancer], específicamente dentro de la función "manageUserBalance" del protocolo. Según investigadores de seguridad, la [comprobación de acceso defectuosa permitió a los atacantes eludir la autorización] y ejecutar retiros no autorizados de saldos internos.
El analista on-chain [Adi explicó en X] que "una autorización inadecuada y un manejo de devolución de llamada permitieron al atacante eludir las salvaguardas, habilitando swaps no autorizados o manipulaciones de saldo a través de pools interconectados." El diseño compositivo del protocolo, donde múltiples pools interactúan intensamente con liquidez compartida, amplificó la vulnerabilidad y permitió a los hackers drenar rápidamente activos a través de múltiples cadenas en minutos.
[Ethereum soportó la mayor parte de las pérdidas], con aproximadamente $99 millones robados de la red. Berachain siguió con $12.86 millones en pérdidas, lo que llevó a sus validadores a [detener la red y ejecutar un hard fork de emergencia] para recuperar fondos de usuarios. Arbitrum perdió $6.86 millones, Base $3.9 millones, Sonic $3.44 millones, Optimism $1.58 millones y Polygon $232,000.
StakeWise monta esfuerzo rápido de recuperación
En una rara historia de éxito en medio del caos, el protocolo de staking líquido de Ethereum [StakeWise anunció] que había recuperado porciones sustanciales de los fondos robados. Utilizando transacciones multisig de emergencia, el DAO de StakeWise recuperó con éxito [5,041 osETH por aproximadamente $19 millones y 13,495 osGNO valorados en $1.7 millones] de la billetera del explotador.
La recuperación representó [73.5% del osETH robado] y el 100% de los tokens osGNO tomados en el ataque. StakeWise confirmó que los fondos recuperados serían devueltos a los usuarios afectados sobre una base de prorrata según sus saldos previos al exploit. El restante 26.5% del osETH robado, por un valor estimado de $7 millones, ya había sido convertido a ETH por el atacante y no pudo ser recuperado.
[StakeWise enfatizó en una declaración] que sus contratos inteligentes principales y el token osETH permanecieron seguros, ya que la vulnerabilidad existía únicamente dentro de la infraestructura de Balancer. La recuperación exitosa alivió ligeramente los temores del mercado de que cantidades masivas de ETH inundarían el mercado, estabilizando potencialmente la perspectiva de precio a corto plazo del token.
Paradoja de Auditoría: Cómo 11 revisiones no detectaron una falla crítica
Quizás lo más preocupante sobre el exploit de Balancer es que ocurrió a pesar de extensas medidas de seguridad. [Los contratos inteligentes de Balancer fueron objeto de 11 auditorías exhaustivas] por cuatro firmas de seguridad líderes — OpenZeppelin, Trail of Bits, Certora y ABDK — con la auditoría de pool estable más reciente realizada por Trail of Bits en septiembre de 2022.
[Suhail Kakar, un destacado desarrollador de Web3, señaló] que incluso con el contrato de bóveda principal de Balancer revisado por múltiples firmas independientes, el protocolo aún sufrió una violación importante. El incidente ha reavivado el debate dentro de la comunidad cripto sobre si los modelos de auditoría tradicionales abordan adecuadamente el paisaje de amenazas en evolución en DeFi.
[Expertos de la industria de firmas de forens..." Contenido: contratos que, una vez implementados, no pueden modificarse fácilmente para corregir vulnerabilidades.
Varias redes de blockchain tomaron medidas sin precedentes en respuesta a la explotación. Los validadores de Berachain detuvieron su red para realizar actualizaciones de emergencia. Los validadores de Polygon censuraron las transacciones de los hackers. Sonic introdujo una funcionalidad para congelar y eliminar la cuenta del hacker. Estas intervenciones generaron un debate dentro de la comunidad cripto sobre la tensión entre los principios de descentralización y las necesidades prácticas de seguridad.
El destacado comentarista cripto Haseeb observó en X que "los ecosistemas más pequeños deberían priorizar la seguridad y la protección comunitaria por encima de 'el código es ley'" — una referencia al ethos tradicional de la industria cripto de que los resultados de los contratos inteligentes deberían ser finales e irreversibles, incluso cuando resultan de explotaciones.
Reflexiones finales
Para Balancer, esta brecha representa un punto de inflexión crítico. El protocolo había resistido tormentas anteriores y mantenido su posición como uno de los jugadores establecidos de DeFi, con aproximadamente $355 millones todavía bloqueados al 4 de noviembre a pesar de la drástica caída. La plataforma continúa procesando un volumen significativo de operaciones, manejando alrededor de $2,81 mil millones mensuales y generando aproximadamente $10,7 millones en ingresos anuales.
Sin embargo, reconstruir la confianza del usuario después de una explotación de $128 millones requerirá más que correcciones técnicas. La comunidad cripto demanda cada vez más transparencia, comunicación rápida durante las crisis, y evidencia concreta de que las vulnerabilidades de seguridad han sido abordadas de manera integral.
Los observadores de la industria esperan que el incidente de Balancer acelere el escrutinio regulatorio de los protocolos DeFi, particularmente en los Estados Unidos, donde las autoridades están desarrollando nuevos marcos para la supervisión de finanzas descentralizadas. El hecho de que auditorías extensas no fueran suficientes para prevenir esta brecha puede llevar a los reguladores a exigir salvaguardas adicionales, mecanismos de seguros o estructuras de responsabilidad para las plataformas DeFi.
Por ahora, los usuarios de Balancer enfrentan decisiones difíciles sobre si mantener sus posiciones o retirarlas hacia alternativas más seguras. Los investigadores de seguridad continúan investigando el alcance completo de la vulnerabilidad, mientras que los equipos de análisis forense de blockchain trabajan con la policía para rastrear los fondos robados. Queda por ver si el hacker aceptará la oferta de recompensa de Balancer para hackers de sombrero blanco o si logrará lavar los fondos a través de mezcladores y puentes entre cadenas.
Lo que es seguro es que esta explotación ha añadido otro capítulo de advertencia a la turbulenta historia de DeFi, recordando tanto a los desarrolladores como a los usuarios que en los sistemas financieros de vanguardia del cripto, la seguridad debe evolucionar tan rápidamente como la tecnología misma.