De Balancer a Berachain: Cuando la cadena pulsa el botón de pausa

El sector DeFi vuelve a acaparar la atención.

El 3 de noviembre (UTC), varios proyectos que utilizan la arquitectura Balancer V2 sufrieron un ataque sofisticado, con pérdidas totales superiores a 120 millones de dólares. La vulnerabilidad afectó a la red principal de Ethereum, Arbitrum, Sonic, Berachain y otras cadenas, convirtiéndose en uno de los incidentes de seguridad más graves de la industria desde los exploits en Euler Finance y Curve Finance.

El análisis preliminar de BlockSec describió el evento como una “manipulación compleja de precios”. Los atacantes manipularon el cálculo del precio del BPT (Balancer Pool Token), aprovechando errores de redondeo en los invariantes para distorsionar el precio y efectuar arbitrajes repetidos en un único batch swap.

Por ejemplo, el ataque en Arbitrum se desarrolló en tres etapas:

• El atacante intercambió BPT por el activo subyacente, ajustando con precisión el balance de cbETH hasta el umbral de redondeo (alrededor de 9 unidades), favoreciendo la pérdida de precisión en los siguientes cálculos;
• Después, realizó un intercambio específico (=8 unidades) entre wstETH y cbETH. El redondeo a la baja durante el escalado redujo levemente el Δx calculado, lo que llevó a subestimar Δy y a disminuir el invariante D del pool estable, presionando así a la baja el precio teórico del BPT;
• Por último, el atacante revirtió el swap, convirtiendo el activo subyacente de nuevo en BPT y obteniendo beneficios gracias al precio artificialmente reducido.

En definitiva, se trató de un exploit de precisión que afectó tanto a las matemáticas como al código.

Balancer confirmó la explotación de sus Composable Stable Pools de la versión V2. El equipo está colaborando con destacados investigadores de seguridad en una investigación completa y se ha comprometido a publicar un análisis post-mortem detallado. Todas las pools afectadas con mecanismo de pausa han sido congeladas de forma urgente y se han iniciado los procesos de recuperación. La vulnerabilidad está limitada a los Composable Stable Pools de V2 y no afecta a Balancer V3 ni a otros tipos de pools.

Tras el exploit en Balancer V2, los proyectos que han hecho fork de su arquitectura sufrieron importantes sacudidas. Según DeFiLlama, a fecha de 4 de noviembre (UTC), el valor total bloqueado (TVL) en proyectos relacionados cayó a unos 49,34 millones de dólares, una caída del 22,88 % en solo un día. BEX, el DEX nativo de Berachain, vio disminuir su TVL un 26,4 % hasta los 40,27 millones de dólares, manteniendo aún el 81,6 % del ecosistema. Sin embargo, los cortes de cadena y la congelación de liquidez siguieron provocando salidas de capital. Beets DEX sufrió un golpe mayor, con una caída del TVL del 75,85 % en 24 horas y cerca de un 79 % en la última semana.

Otros DEX basados en la arquitectura de Balancer también registraron retiradas masivas: PHUX bajó un 26,8 % en un día, Jellyverse un 15,5 % y Gaming DEX se hundió un 89,3 %, quedándose prácticamente sin liquidez. Incluso plataformas medianas y pequeñas no afectadas directamente—como KLEX Finance, Value Liquid y Sobal—experimentaron salidas de entre el 5 % y el 20 %.

Reacción en cadena: Berachain ejecuta un hard fork de emergencia

La vulnerabilidad en Balancer V2 desató rápidamente una reacción en cadena.

Berachain, una nueva blockchain pública creada con Cosmos SDK, fue atacada pocas horas después, ya que BEX emplea contratos Balancer V2. Al detectar anomalías, la fundación anunció de inmediato la paralización total de la cadena.

Los atacantes comprometieron activos en el USDe Tripool de BEX y otros pools de liquidez, con pérdidas de unos 12 millones de dólares. Emplearon el mismo fallo lógico que en Balancer, usando varias interacciones con smart contracts para extraer fondos. Como algunos activos afectados eran tokens no nativos, el equipo tuvo que ejecutar un hard fork para revertir bloques y restaurar el seguimiento y la recuperación.

Varios protocolos del ecosistema Berachain—Ethena, Relay y HONEY entre ellos—adoptaron medidas defensivas:

• Prohibieron las transferencias USDe entre cadenas;
• Suspenderon los depósitos en mercados de préstamos;
• Paralizaron la emisión y el rescate de HONEY;
• Informaron a exchanges centralizados para bloquear direcciones sospechosas.

La Fundación Berachain aseguró que la suspensión de la red era planificada y que las operaciones se reanudarían en breve. El exploit de Balancer impactó principalmente en los pools Ethena/Honey mediante complejas transacciones de smart contracts. Como se vieron afectados activos no nativos (no solo BERA), revertir y restaurar los bloques requería más que un simple hard fork, por lo que la red quedó pausada hasta encontrar una solución integral.

El 4 de noviembre (UTC), la Fundación Berachain comunicó que los binarios del hard fork se habían distribuido y algunos nodos validador ya estaban actualizados. Antes de relanzar y generar nuevos bloques, quieren asegurarse de que los socios clave (como los oráculos de liquidación) hayan actualizado sus endpoints RPC. Estos puntos son el principal obstáculo para reanudar la actividad on-chain. Una vez que los servicios RPC estén operativos, el equipo coordinará con puentes entre cadenas, socios CEX y custodios para retomar la operativa.

Mientras tanto, un operador de bot MEV en Berachain contactó con la fundación tras la interrupción de la cadena, alegando haber recuperado fondos como “hacker ético” y enviando un mensaje on-chain, ofreciéndose a prefirmar transacciones para devolver los fondos en cuanto la cadena vuelva a estar activa.

¿Seguridad o descentralización?

“Sabemos que es controvertido, pero cuando hay unos 12 millones de dólares de usuarios en riesgo, protegerles es la única opción”, afirmó Smokey The Bera, cofundador de Berachain, en respuesta a las críticas sobre la centralización.

Reconoció que Berachain no ha alcanzado el nivel de descentralización de Ethereum y que la coordinación entre validadores funciona más como un “comité de gestión de crisis” que como una red automatizada de consenso. De hecho, los nodos on-chain se detuvieron en menos de una hora desde el exploit, evidenciando eficiencia centralizada, pero también una gobernanza concentrada.

La comunidad se dividió de manera tajante.

Quienes la apoyan afirman que el equipo ha mostrado compromiso con la seguridad del usuario—una “descentralización pragmática”. Los detractores, por el contrario, opinan que se ha vulnerado el principio de “El código es la ley” y la irreversibilidad on-chain.

El investigador on-chain ZachXBT comentó: “Cuando los fondos de los usuarios están en peligro, es una decisión difícil pero acertada.”

Algunos desarrolladores fueron directos: “Si una blockchain puede pausarse manualmente en cualquier momento, ¿en qué se diferencia de las finanzas tradicionales?”

La sombra del hackeo a DAO reaparece

Esta crisis ha hecho recordar el hackeo al DAO de Ethereum en 2016, cuando se revirtieron transacciones mediante un hard fork para recuperar 50 millones de dólares robados, dividiendo la comunidad entre Ethereum (ETH) y Ethereum Classic (ETC).

Nueve años después, el dilema se repite.

En esta ocasión, la protagonista es una cadena pública emergente, sin una descentralización profunda ni consenso global.

La intervención de Berachain pudo limitar las pérdidas, pero reaviva el debate sobre la verdadera autonomía de las blockchains.

De algún modo, este episodio refleja el dilema de DeFi: seguridad, eficiencia y descentralización—el equilibrio perfecto sigue sin alcanzarse.

Cuando los hackers roban decenas de millones en segundos, el idealismo se enfrenta a la realidad.

El equipo de Balancer colabora con expertos en seguridad, planea publicar el análisis post-mortem y alerta a los usuarios frente a posibles fraudes de impostores.

Se espera que Berachain restaure progresivamente la producción de bloques y la operativa de transacciones tras el hard fork.

Sin embargo, recuperar la confianza de los usuarios es mucho más complicado que corregir el código. Para cualquier nueva cadena pública, detener la red puede ser una solución temporal, pero con posibles consecuencias a largo plazo: los usuarios pueden dudar de la descentralización y los desarrolladores, de la inmutabilidad de la cadena.

DeFi podría estar redefiniendo la descentralización—no como un laissez-faire absoluto, sino como el consenso mínimo alcanzado en tiempos de crisis.

Declaración:

1. Este artículo ha sido republicado desde [Foresight News] y los derechos de autor corresponden al autor original [ChandlerZ, Foresight News]. Para cualquier consulta sobre esta publicación, contacta con el equipo de Gate Learn para su gestión según los procedimientos vigentes.
2. Advertencia: Las opiniones y puntos de vista expresados en este artículo son exclusivamente del autor y no constituyen asesoramiento de inversión.
3. Las versiones en otros idiomas han sido traducidas por el equipo de Gate Learn. Salvo que se cite explícitamente a Gate, está prohibido copiar, distribuir o plagiar los artículos traducidos.