Balancer sufre un exploit con $128M movidos de sus bóvedas

El protocolo de finanzas descentralizadas (DeFi) Balancer ha perdido $128 millones después de sufrir una explotación maliciosa. Los datos en cadena muestran más de $128 millones en activos retirados de las bóvedas del protocolo. 

Los fondos robados incluyen osETH, WETH y wstETH, con el explotador consolidando los activos robados, lo que genera preocupaciones sobre el lavado de dinero. 

Balancer Afectado Por Una Explotación 

Balancer, un destacado protocolo de finanzas descentralizadas (DeFi), ha sido afectado por una importante explotación, con datos en cadena que muestran que más de $128 millones en activos han sido trasladados a una nueva billetera. Según los datos de blockchain, los fondos robados incluyen 6.850 osETH, 6.590 WETH y 4.260 wstETH, con el hackeo afectando a las bóvedas en Balancer v2. Las bóvedas v2 del Protocolo actúan como su motor central de liquidez, agregando tokens y facilitando el comercio entre pools de liquidez. El equipo de Balancer reconoció el hackeo en X, declarando, 

Las bóvedas en Sonic, Polygon y Base también han sido afectadas. 

Mikko Ohtamaa, cofundador y CEO de Trading Strategy, señaló que el análisis preliminar del ataque indica un Smart Contract defectuoso como la causa principal del ataque. Añadió que aunque no todas las versiones de Balancer fueron afectadas, las pérdidas podrían ser mayores si los forks más antiguos de v2 comparten la misma vulnerabilidad utilizada por el atacante. La firma de seguridad PeckShield declaró que el ataque aún está en curso en múltiples cadenas en las que Balancer está implementado. 

Cómo Se Desarrolló El Ataque 

Según la firma de seguridad Decurity, el ataque ocurrió debido a un control de acceso defectuoso en la función "manageUserBalance" de Balancer. La vulnerabilidad estaba en el ValidateUserBalanceOp, que compara msg.sender con un op.sender proporcionado por el usuario, un fallo lógico que permite retiros no autorizados a través de la operación UserBalanceOpKind.WITHDRAW_INTERNAL. 

En términos más simples, la vulnerabilidad permitió a los atacantes activar retiros de saldo interno desde los Smart Contracts de Balancer sin los permisos necesarios. 

Los expertos en seguridad en cadena han destacado que la dirección del atacante ya ha comenzado a consolidar los activos, lo que genera preocupaciones de que estén preparándose para lavar los fondos a través de mezcladores descentralizados. 

Una Tercera Explotación 

Balancer es una plataforma descentralizada construida en Ethereum que permite a los usuarios intercambiar tokens y proporcionar liquidez utilizando sus pools de autobalanceo. El protocolo ha estado activo desde 2020 y mantiene más de $350 millones en TVL solo en Ethereum. El último incidente es la tercera brecha de seguridad conocida para Balancer. La plataforma sufrió previamente explotaciones en 2021 y 2023, perdiendo millones. Los expertos en cadena declararon que la bóveda es el Smart Contract principal de Balancer, que contiene tokens de cada pool de Balancer. 

El diseño fue introducido en Balancer v2 y separa la contabilidad de tokens de la lógica del pool, haciendo que los pools sean más pequeños, simples y seguros de construir. Este enfoque permitió a cualquiera conectar un nuevo diseño de pool sin crear un nuevo DEX.

Descargo de responsabilidad: Este artículo se proporciona solo con fines informativos. No se ofrece ni pretende ser utilizado como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.