Protocolo DeFi Balancer hackeado por $100M y proyectos derivados afectados

TLDR

• Más de $100M drenados de Balancer a través de un exploit de contrato V2 el 3 de noviembre de 2025.
• Tres billeteras Ethereum vinculadas al atacante contienen $117M en activos robados.
• Los proyectos bifurcados Beets.fi y Berachain se vieron afectados debido a la reutilización de código.
• El token BAL cayó un 5% después de que se hiciera pública la noticia del exploit de $100M.

Más de $100 millones han sido robados de Balancer, uno de los principales protocolos de liquidez de finanzas descentralizadas (DeFi), en una importante brecha de seguridad. El ataque también ha afectado a varios proyectos bifurcados que comparten el mismo código de código abierto. Las primeras estimaciones muestran que tres billeteras Ethereum vinculadas al exploit actualmente contienen más de $117 millones en activos digitales, según la firma de seguridad HashDit.

Hack descubierto el 3 de noviembre de 2025

La brecha fue reportada a las 09:18 UTC del 3 de noviembre de 2025. Las herramientas de monitoreo de HashDit rápidamente señalaron actividad inusual en múltiples billeteras Ethereum. El ataque se dirigió principalmente a los Smart Contracts V2 de Balancer, que gestionan varios pools de liquidez que involucran tokens ETH en staking.

Los datos de blockchain muestran que el atacante utilizó una falla lógica en el Smart Contract para manipular los saldos de los pools. La billetera principal (0xaa76…8e3f) contiene alrededor de $100 millones en activos digitales, con 63,98% en WETH, 26,92% en osETH y 9% en wstETH. Se encontraron otras dos billeteras vinculadas al exploit con $13,5 millones y $3,7 millones, respectivamente.

El hack es el más grande en la historia de Balancer y se encuentra entre los mayores exploits de DeFi reportados en 2025 hasta ahora.

Proyectos bifurcados Beets.fi y Berachain también fueron atacados

El ataque no se detuvo con Balancer. Proyectos bifurcados como Beets.fi (Beethoven X) y Berachain también se vieron afectados debido a su código base compartido. HashDit alertó a varios equipos poco después de que se descubriera la brecha.

Beets.fi confirmó a través de Discord que sus pools de liquidez están bajo revisión interna. Berachain pausó sus operaciones de minería de liquidez como precaución. Aunque no se reportaron ataques en BNB Chain, se instó a los desarrolladores que utilizan el código de Balancer a realizar auditorías de emergencia para garantizar la seguridad.

Los protocolos bifurcados a menudo se construyen sobre el mismo código, lo que puede llevar a vulnerabilidades similares si no se prueban o actualizan adecuadamente. Los equipos detrás de los proyectos afectados aún tienen que compartir detalles completos de las revisiones de seguridad o posibles pérdidas.

Desglose de activos robados y vulnerabilidad

Según el análisis de blockchain, el atacante drenó tres tipos de activos: WETH, osETH y wstETH. Estos son comúnmente utilizados en los pools de liquidez V2 de Balancer. El exploit funcionó abusando de cómo se calculaban los saldos de los pools en los Smart Contracts.

La segunda billetera (0x827…80f4) contiene $13,5 millones en ETH, osETH y wstETH. La tercera (0x0453…941c) contiene aproximadamente $3,7 millones, principalmente en un token no identificado que los analistas creen que podría ser una stablecoin.

Los investigadores de seguridad señalaron que los contratos V2 de Balancer estaban en el centro de la vulnerabilidad. También advirtieron que los proyectos DeFi de código abierto enfrentan un mayor riesgo si las actualizaciones de código no se realizan regularmente.

Este incidente ocurre después de problemas anteriores enfrentados por Balancer. En 2020, perdió $500.000 debido a un exploit de token deflacionario. En 2023, sufrió otra brecha por valor de $900.000 debido a una vulnerabilidad similar en el pool.

Reacción del mercado y monitoreo continuo

Tras la divulgación pública, el token de Balancer (BAL) cayó alrededor del 5% en cuestión de horas. El mercado DeFi más amplio no mostró movimientos importantes, pero los equipos de seguridad en todos los protocolos comenzaron revisiones urgentes de su código de Smart Contract.

Hasta la última actualización, no se ha publicado ninguna declaración oficial por parte de Balancer. Los analistas siguen rastreando las billeteras vinculadas al ataque. Algunos creen que los exchanges centralizados pueden congelar fondos si el atacante intenta retirarlos.

HashDit y otras firmas de seguridad de blockchain continúan monitoreando la actividad en cadena. Hasta ahora, el atacante no ha movido los fondos robados a mezcladores o exchanges. Los próximos días probablemente determinarán si los activos pueden ser recuperados o bloqueados.

La publicación Protocolo DeFi Balancer hackeado por $100M y proyectos bifurcados afectados apareció primero en CoinCentral.