Market Maker Balancer comprometido: Datos clave detrás del hackeo de $128 millones

El protocolo de finanzas descentralizadas (Defi) y market maker Balancer sufrió recientemente un importante ataque, que resultó en la pérdida de más de $120 millones en activos digitales.

Según firmas de seguridad blockchain, las pérdidas totales han alcanzado aproximadamente $128 millones, con retiros en curso desde la billetera del atacante que siguen siendo reportados.

Detalles Del Ataque A Balancer

En una publicación en la plataforma de redes sociales X (anteriormente Twitter), Balancer reconoció el ataque, afirmando que sus equipos de ingeniería y seguridad estaban investigando la brecha con alta prioridad. Añadieron:

El Director Ejecutivo de la compañía, Deddy Lavid, explicó que el drenaje continuo de fondos probablemente resulta de mecanismos de control de acceso comprometidos dentro del protocolo, lo que permitió a los atacantes manipular los saldos directamente.

El experto en mercados Adi Flips proporcionó más información sobre el ataque, detallando cómo el ataque se dirigió a las bóvedas V2 de Balancer y pools de liquidez explotando vulnerabilidades en las interacciones de contratos inteligentes. 

Las investigaciones preliminares indican que el ataque involucró un contrato maliciosamente desplegado que manipuló las llamadas a la bóveda durante la inicialización de los pools. Esta manipulación fue posible debido a una autorización inadecuada y manejo de callback, lo que permitió al atacante eludir las salvaguardias existentes. 

Como resultado, ocurrieron intercambios no autorizados y manipulaciones de saldo en pools interconectados, permitiendo el rápido drenaje de activos en minutos.

El ataque se inició con una transacción fundamental en la mainnet de Ethereum (ETH), que dirigió los activos a una nueva billetera controlada por el perpetrador. Después de esto, los fondos robados fueron consolidados, probablemente para ser lavados a través de mezcladores o puentes.

Desglose De Activos Robados

El diseño del protocolo de Balancer, que permite una fuerte interacción entre sus pools, exacerbó el impacto del ataque, según el análisis de Adi Flips. 

Afirmó que se han observado vulnerabilidades similares en market makers automatizados (AMM) en el pasado, a menudo vinculadas a cómo manejan tokens deflacionarios o gestionan el rebalanceo de pools.

Es importante destacar que actualmente no hay evidencia que sugiera que una clave privada fue comprometida. El experto señaló que este incidente parece ser un ataque puro de contrato inteligente.

El desglose de los activos robados incluye más de $70 millones en Ethereum, con pérdidas adicionales de alrededor de $7 millones de Base y Sonic combinados, y aproximadamente $2 millones de otras cadenas. 

Según investigaciones en curso, el robo total estimado de los principales activos, incluyendo Ethereum envuelto (WETH), Ethereum en staking (wstETH), osETH, frxETH, rsETH y rETH, está entre $116 millones y $128 millones.

Imagen destacada de DALL-E, gráfico de TradingView.com