Exploit en Balancer y sus Consecuencias
El creador de mercado automatizado de criptomonedas Balancer sufrió un importante exploit a primera hora del lunes, que resultó en el robo de aproximadamente $128 millones en activos digitales a través de múltiples blockchains. Como consecuencia, la red emergente Berachain ha detenido forzosamente su blockchain y está intentando realizar un hard fork para resolver el problema.
Balancer ofrecía sus servicios en varias cadenas, incluyendo Ethereum, Arbitrum y Base, y todas aquellas que utilizaron Balancer V2 eran vulnerables al ataque. Además, muchos protocolos han utilizado su base de código para construir sus propios productos, que también presentan la misma vulnerabilidad.
Detalles del Exploit
El exploit se debió probablemente a un «pequeño error de precisión/redondeo» encontrado en las piscinas de liquidez de Balancer V2, según informó la firma de análisis en cadena Nansen a Decrypt. El atacante aprovechó este error de redondeo a través de múltiples intercambios dentro de una sola transacción. Esto llevó a que el Balancer Pool Token (BPT), que representa la propiedad en las piscinas de liquidez de Balancer, se subestimara.
«Con el precio del BPT deprimido, el atacante intercambió o acuñó BPT a ese valor inflado. Inmediatamente convirtió esos BPT (subvaluados) de nuevo en activos subyacentes y luego en ETH, embolsándose la diferencia», explicó el analista de investigación de Nansen, Nicolai Sondergaard, a Decrypt.
Los expertos en seguridad Cyvers y PeckShield estiman que las pérdidas totales ascienden a aproximadamente $128 millones. Nansen, por su parte, estima que la cifra se acerca a los $100 millones, una cantidad que está disminuyendo a medida que los precios de los tokens caen en medio de una caída más amplia del mercado.
Reacciones y Medidas Tomadas
Los fondos robados fueron enviados a través de varias direcciones diferentes y cambiados en intercambios descentralizados. Balancer ha reconocido el exploit y ha confirmado que el problema está aislado específicamente a las Composable Stable Pools de Balancer V2, lo que significa que las piscinas V3 no se ven afectadas. El proyecto ahora está trabajando con «investigadores de seguridad líderes» para elaborar un informe completo sobre el incidente.
El token BAL de Balancer ha caído más de un 11% en el día, con una capitalización de mercado de $56 millones, según CoinGecko.
«Es probable que lo peor ya haya pasado en este punto, ya que no parece que el explotador esté retirando más fondos», dijo Sondergaard.
Como resultado del ataque, los validadores de Berachain coordinaron la detención de la blockchain, con planes de realizar un hard fork de emergencia para retroceder la cadena a su estado anterior al exploit. Esto se debe a que el intercambio descentralizado nativo de Berachain está construido sobre la misma base de código vulnerable que Balancer V2, según Cyvers. Esto explica por qué Berachain fue golpeado tan duramente, con pérdidas estimadas en $12.86 millones.
«Dado que afectó activos no nativos (no solo BERA), el retroceso/avance implica más que un simple hard fork», explicó el anuncio de la Fundación Berachain, aclarando por qué la blockchain fue detenida temporalmente.
Controversia en la Comunidad Cripto
Este movimiento es altamente controvertido entre los entusiastas de las criptomonedas que creen en la inmutabilidad de las blockchains. Para muchos creyentes acérrimos de las criptomonedas, bifurcar una cadena y deshacer transacciones va en contra de todo lo que representa este ecosistema. Ethereum, famoso por haber retrocedido su blockchain a través de un hard fork después del célebre hack de The DAO en 2016, que resultó en el robo de $50 millones en ETH, una cantidad que representaba una parte significativa del suministro total en ese momento.
«Estoy seguro de que algunos no estarán contentos con esto, y reconocemos que esto podría verse como una decisión controvertida», escribió el fundador y CSO seudónimo de Berachain, Smokey the Bera, en X. «Los usuarios y LPs en la red siempre son nuestra prioridad y, cuando aproximadamente $12 millones de fondos de usuarios están en riesgo por un atacante malicioso, intentamos coordinar el conjunto de validadores para proteger a esos usuarios.»
«El objetivo es recuperar fondos lo antes posible y asegurar que todos los LPs estén a salvo», agregó Smokey. El token de Berachain también ha caído casi un 10% en el día, con una capitalización de mercado de $211 millones, según CoinGecko.
