-
El hacker habría vulnerado el código de los contratos inteligentes de Balancer.
-
El precio del token nativo de Balancer, BAL, se desplomó tras el ataque.
El 3 de noviembre de 2025, Balancer, un exchange descentralizado (DEX) basado en Ethereum, sufrió un exploit que resultó en el drenaje de fondos por un valor estimado de 128 millones de dólares en activos digitales.
Este incidente es uno de los hacks más grandes en plataformas de finanzas descentralizadas (DeFi) para este año y el peor en la historia de Balancer. El ataque habría afectado parte de la liquidez depositado en el exchange.
Desde la cuenta de X, el equipo del DEX confirmó el ataque:
Estamos al tanto de un posible exploit que impacta pools de Balancer V2. Nuestros equipos de ingeniería y seguridad están investigando con alta prioridad. Compartiremos actualizaciones verificadas y próximos pasos tan pronto tengamos más información.
Equipo de Balancer.
En estos DEX, los «pools» son contratos inteligentes que agrupan fondos de los usuarios para facilitar el intercambio de tokens sin intermediarios.
Que un exploit haya afectado a estos pools significa que un actor malicioso habría encontrado una vulnerabilidad en el código de los contratos, permitiéndole alterar su funcionamiento normal y retirar activos.
De acuerdo con datos de la firma de seguridad PeckShield, los fondos drenados incluyen versiones envueltas de ether, entre otros:
- 6.587 WETH (24,4 millones de dólares).
- 6.851 osETH (casi 27 millones de dólares).
- 4.260 wstETH (19,3 millones de dólares).
- Stablecoins y más de 60.000 tokens del estándar ERC-20.
Las primeras estimaciones realizadas por Nansen, una firma dedicada al análisis on-chain, junto al comerciante de criptomonedas Ted Pillows, calcularon el valor sustraído en 116 millones de dólares.
Sin embargo, con el paso de las horas, la cifra fue actualizada a 120 millones, según los datos de la plataforma de monitoreo BlockSec Phalcon, mientras que Dori, un representante de validadores de Cardano (DRep), elevo el monto comprometido hasta los 128 millones de dólares.
Asimismo, Dori aseguró que el ataque se extendió por diversas cadenas del ecosistema Ethereum. Entre ellas: la capa base de Ethereum, Arbitrum, Base, Polygon, entre otras.
Por otro lado, como lo informó CriptoNoticias, el precio de token nativo del DEX, BAL, se desplomó tras el hack a Balancer.
¿Cómo se ejecutó el ataque a Balancer, el DEX basado en Ethereum?
Conforme con el análisis del investigador on-chain conocido en X como AdiFlips, el ataque se dirigió a las vaults (bóvedas) y a los pools de liquidez de la versión 2 (V2) de Balancer.
En ese protocolo, las vaults son contratos inteligentes que almacenan los fondos de todos los pools y coordinan las operaciones de intercambio entre ellos.
Durante la creación o inicialización de un pool, estos contratos ejecutan una serie de “llamadas” que sirven para comunicar órdenes (por ejemplo, registrar un nuevo activo o fijar los parámetros de liquidez) entre distintos componentes del sistema.
El atacante habría desplegado un contrato malicioso que interceptó y manipuló esas llamadas durante el proceso de configuración, consiguiendo alterar el comportamiento esperado del vault.
El fallo habría estado en cómo el protocolo manejaba los permisos de interacción entre contratos y las funciones automáticas conocidas como “callbacks” (devolver llamada), que permiten a un contrato responder o ejecutar tareas cuando otro lo invoca.
Al aprovechar una debilidad en este mecanismo, el atacante pudo hacer que su contrato ejecutara operaciones no autorizadas, como intercambios o transferencias de tokens, sin la validación adecuada.
Esto le permitió mover fondos entre pools de forma encadenada y rápida, drenando parte de los activos almacenados antes de que el sistema o los validadores pudieran reaccionar.
Analistas investigan el hackeo a Balencer: pudo tener ayuda de IA
Además de esa vulnerabilidad en los permisos y las funciones automáticas, analistas detectaron indicios que podrían ayudar a comprender cómo se ejecutó el ataque con mayor precisión.
Horas más tarde de su primer abordaje, AdiFlips señaló que el código malicioso incluía registros de consola (console.log) visibles en la red, algo inusual en ataques sofisticados.
Los console.log son fragmentos de código que los desarrolladores utilizan durante las pruebas para mostrar mensajes explicativos (por ejemplo, “Paso 1 completado”) y seguir el funcionamiento de un programa.
Sin embargo, esos registros se eliminan antes de publicar el código final. Por eso, el hecho de que aparezcan en una transacción real sugiere que el atacante podría haber usado una herramienta de inteligencia artificial (IA) o haber copiado directamente el código generado por una de ellas, según AdiFlips.
Otro analista, en tanto, apuntó a una falla en la función “manageUserBalance” (“administrar el balance del usuario”) del protocolo Balancer.
Según el análisis, el sistema de Balancer cometía un error al comparar dos parámetros clave.
Por un lado, msg.sender, que identifica la dirección que realmente ejecuta una acción dentro del contrato. Por otro, op.sender, un dato que el propio usuario podía establecer manualmente.
Esa confusión en la validación habría permitido que cualquier dirección se hiciera pasar por otra y ejecutara operaciones de retiro interno (conocidas como WITHDRAW_INTERNAL), es decir, movimientos de fondos dentro del propio protocolo, sin contar con la autorización correspondiente.
Ambas observaciones refuerzan la hipótesis de que el ataque combinó un fallo en la verificación de permisos con un código improvisado o asistido por IA, lo que facilitó el drenaje de fondos desde las bóvedas afectadas.
