De Balancer a Berachain, cuando la cadena se encuentra pausada.

El ecosistema DeFi vuelve a ser el epicentro de una nueva crisis.

El 3 de noviembre (UTC), varios proyectos desarrollados sobre Balancer V2 sufrieron un ataque sofisticado que provocó pérdidas acumuladas superiores a 120 millones de dólares. El incidente no solo afectó a la red principal de Ethereum, sino que se extendió a cadenas como Arbitrum, Sonic y Berachain, lo que marca otra grave crisis de seguridad para el sector tras los hackeos a Euler Finance y Curve Finance.

El análisis preliminar realizado por BlockSec calificó el incidente como un “ataque de manipulación de precios de alta complejidad”. El atacante alteró la lógica de cálculo del precio de BPT (Balancer Pool Token), explotando errores de redondeo en el invariante para distorsionar los precios y ejecutar arbitrajes repetidos dentro de un único intercambio por lotes.

Por ejemplo, el ataque en Arbitrum se ejecutó en tres fases:

• En primer lugar, el atacante intercambió BPT por los activos subyacentes, ajustando con precisión el balance de cbETH hasta el umbral de redondeo (unos 9 unidades) para preparar la posterior pérdida de precisión;
• Después, se intercambió una cantidad establecida (=8) entre wstETH y cbETH. Durante el escalado, el redondeo a la baja provocó que el Δx calculado disminuyera ligeramente, lo que llevó a subestimar el Δy, reduciendo el invariante D del pool estable y empujando a la baja el precio teórico de BPT;
• Finalmente, el atacante volvió a intercambiar los activos subyacentes por BPT, obteniendo beneficio gracias al precio artificialmente reducido.

En definitiva, fue un ataque de precisión en la intersección entre las matemáticas y el código.

El equipo oficial de Balancer confirmó la explotación de los Composable Stable Pools (Pools Estables Componibles) de V2. Actualmente colaboran con los mejores investigadores de seguridad para esclarecer el incidente, han prometido un análisis completo tras el evento y han congelado urgentemente todos los pools afectados que permiten pausarse. La vulnerabilidad afecta exclusivamente a los Composable Stable Pools de V2 y no compromete Balancer V3 ni otros tipos de pools.

Tras el exploit en Balancer V2, todos los proyectos que realizaron fork (bifurcación dura) de Balancer sufrieron graves interrupciones. Según DeFiLlama, a fecha de 4 de noviembre (UTC), el valor total bloqueado (TVL) en los proyectos relacionados descendió hasta unos 49 340 000 dólares, una caída en un solo día del 22,88 %. BEX, el DEX nativo de Berachain, vio su TVL bajar un 26,4 % hasta 40 270 000 dólares—todavía el 81,6 % del TVL del ecosistema—pero las salidas continuaron por la paralización de la cadena y la congelación de liquidez. Otra víctima, Beets DEX, sufrió aún más, con una caída del TVL del 75,85 % en 24 horas y casi un 79 % en los últimos 7 días.

Otros DEX basados en Balancer también registraron retiradas masivas: PHUX cayó un 26,8 % en un día, Jellyverse retrocedió un 15,5 % y Gaming DEX se hundió un 89,3 %, evaporando casi toda la liquidez. Incluso los proyectos de menor tamaño que no se vieron afectados directamente—como KLEX Finance, Value Liquid y Sobal—experimentaron salidas típicas entre el 5 y el 20 %.

Reacción en cadena: Berachain ejecuta un hard fork (bifurcación dura) de emergencia

La vulnerabilidad de Balancer V2 desencadenó rápidamente consecuencias en cascada.

Berachain, una nueva cadena pública desarrollada sobre Cosmos SDK, sufrió el impacto en cuestión de horas porque su DEX nativo, BEX, utilizaba contratos de Balancer V2. La fundación anunció de inmediato la paralización total de la red tras detectar actividad sospechosa.

El Tripool USDe de BEX y otros pools de liquidez quedaron en riesgo, con unos 12 000 000 dólares comprometidos. El atacante explotó el mismo fallo lógico que en Balancer, drenando fondos mediante múltiples interacciones con contratos inteligentes. Como algunos activos eran tokens no nativos, el equipo ejecutó un hard fork para revertir los bloques afectados y facilitar la recuperación y el seguimiento.

Mientras tanto, varios protocolos del ecosistema Berachain—including Ethena, Relay y HONEY—adoptaron medidas defensivas:

• Bloquearon transferencias cross-chain de USDe;
• Pausaron los depósitos en mercados de préstamos;
• Detuvieron la emisión y el rescate de HONEY;
• Notificaron a exchanges centralizados para incluir en listas negras las direcciones sospechosas.

La Fundación Berachain declaró que la pausa de la red fue deliberada y que las operaciones normales se reanudarán pronto. El ataque afectó principalmente al pool de tres activos Ethena/HONEY mediante interacciones complejas con contratos inteligentes. Dado que se vieron afectados activos no nativos (no solo BERA), la reversión o avance requería más que un simple hard fork, por lo que la red permanece pausada hasta que se finalice una solución integral.

El 4 de noviembre (UTC), la fundación anunció que ya se habían distribuido los binarios del hard fork y que algunos validadores se habían actualizado. Antes de reanudar la producción de bloques y volver a estar en línea, quieren asegurarse de que todos los socios de infraestructura clave (por ejemplo, oráculos de liquidación) hayan actualizado sus RPC, ya que esto resulta esencial para restaurar la cadena. Una vez que los servicios centrales estén listos, el equipo se coordinará con puentes, CEX, custodios y otros agentes para restablecer el funcionamiento general.

Al mismo tiempo, un operador de bot MEV de Berachain contactó con la fundación tras la paralización, alegando haber extraído fondos como hacker ético (white hat) y enviando un mensaje en la cadena (on-chain). El operador se mostró dispuesto a prefirmar transacciones para devolver los fondos cuando la blockchain vuelva a estar operativa.

¿Seguridad o descentralización?

“Sabemos que es polémico, pero cuando hay unos 12 000 000 dólares en activos de usuarios en riesgo, proteger a los usuarios es la única opción”, afirmó el cofundador de Berachain, Smokey The Bera, ante las preocupaciones sobre centralización.

Reconoció que Berachain no ha alcanzado el nivel de descentralización de Ethereum y que la coordinación de validadores funciona más como un centro de gestión de crisis que como una red de consenso automatizada. En la práctica, los nodos en la cadena se detuvieron en menos de una hora tras el ataque, demostrando la eficacia de las decisiones centralizadas—pero también evidenciando el grado de centralización en la gobernanza.

La reacción de la comunidad fue inmediata y dividida.

Los partidarios interpretaron la medida como muestra de responsabilidad hacia la seguridad de los usuarios—una forma de “descentralización realista”. Los críticos argumentaron que vulnera el principio de “Code is Law” (El código es la ley) y pone en duda la inmutabilidad en la cadena.

El investigador en la cadena ZachXBT comentó: “Con los fondos de los usuarios en riesgo inminente, fue una decisión difícil pero acertada.”

Algunos desarrolladores críticos replicaron: “Si una blockchain puede ser pausada por humanos en cualquier momento, ¿en qué se diferencia del sistema financiero tradicional?”

La sombra del incidente DAO vuelve

Esta crisis ha recordado a muchos veteranos el hackeo DAO de Ethereum en 2016, cuando Ethereum revirtió transacciones mediante hard fork para recuperar 50 000 000 dólares, dividiendo a la comunidad entre Ethereum (ETH) y Ethereum Classic (ETC).

Nueve años después, surge un dilema similar.

Esta vez, el protagonista es una cadena pública joven—sin la suficiente descentralización ni el consenso global de una gran red.

La intervención de Berachain evitó pérdidas mayores, pero reavivó el debate filosófico: ¿puede realmente el blockchain ser autónomo?

En cierto modo, esto refleja el ecosistema DeFi: seguridad, eficiencia y descentralización—el equilibrio auténtico entre los tres nunca se ha alcanzado.

Cuando los hackers pueden destruir decenas de millones de dólares en cuestión de segundos, los “ideales” suelen ceder ante la “realidad”.

El equipo de Balancer ha indicado que trabaja junto a los mejores investigadores de seguridad y publicará un análisis completo tras el evento, advirtiendo a los usuarios sobre posibles mensajes de phishing de falsos equipos de seguridad.

Berachain prevé restablecer gradualmente la producción de bloques y la funcionalidad de transacciones una vez completado el hard fork.

No obstante, recuperar la confianza es más difícil que parchear el código. Para una cadena pública nueva, detener la red es una solución de emergencia, pero puede dejar cicatrices duraderas. Los usuarios se cuestionarán la descentralización y los desarrolladores podrían preocuparse por la promesa de inmutabilidad.

El mundo DeFi podría estar redefiniendo la descentralización—no como laissez-faire absoluto (dejar hacer), sino como consenso sobre la mínima concesión posible en momentos de crisis.

Aviso legal:

1. Este artículo es una reproducción de [Foresight News] y los derechos de autor pertenecen al autor original [ChandlerZ, Foresight News]. Para disputas sobre la reproducción, contacta con el equipo de Gate Learn para su resolución inmediata.
2. Descargo de responsabilidad: Las opiniones expresadas en este documento son únicamente del autor y no constituyen asesoramiento de inversión.
3. Las versiones en otros idiomas han sido traducidas por el equipo de Gate Learn. Sin mención de Gate, está prohibido copiar, distribuir o plagiar los artículos traducidos.