Revelan el ataque de 116 millones de dólares a Balancer: identifican la vulnerabilidad en la "función de redondeo", una nueva advertencia sobre la seguridad en DeFi

El protocolo descentralizado Balancer confirma que el incidente reciente, que resultó en el robo de activos por valor de más de 116 millones de dólares, tiene su raíz técnica en un error de lógica de redondeo (Rounding) en la función “upscale” interna del protocolo. Este ataque afectó a múltiples redes, incluyendo Ethereum, Arbitrum, Base y Polygon, causando pérdidas significativas en activos como WETH, osETH y wstETH.

Aunque el protocolo StakeWise, uno de los afectados, logró recuperar aproximadamente 19 millones de dólares en osETH, los equipos de seguridad han detenido inmediatamente los pools afectados y están rastreando todas las transacciones sospechosas, resaltando la urgencia de una respuesta de seguridad en la capa de gobernanza cross-chain de DeFi.

Análisis profundo de la raíz técnica de la pérdida en Balancer

Robo de 116 millones de dólares: de una vulnerabilidad en la lógica EVM a arbitraje multichain

El ataque contra el protocolo Balancer el 3 de noviembre de 2025 es un ejemplo clásico de un desastre provocado por problemas de precisión en contratos inteligentes. Según el informe preliminar del equipo del proyecto, la vulnerabilidad principal residía en la lógica de redondeo en la función “upscale” utilizada para intercambios de tokens (Token Swaps).

En los pools de tokens de los protocolos DeFi, las operaciones matemáticas precisas son fundamentales. Los atacantes aprovecharon la forma en que el código maneja los factores de escalado no enteros (Non-integer Scaling Factors), manipulando sistemáticamente los saldos de los pools mediante transacciones cuidadosamente diseñadas. Esto permitió que, en múltiples redes, se drenara la liquidez. La naturaleza oculta de este ataque radica en que los atacantes podían transferir activos internamente en las bóvedas (Vaults) del protocolo antes de retirar fondos, exponiendo el valor transferido solo cuando la operación alcanzaba una escala significativa.

El valor total robado alcanzó los 116 millones de dólares, con pérdidas destacadas en 6587 WETH, 6851 osETH y 4260 wstETH. Esto indica que los atacantes apuntaron a tokens de staking con características de aumento de rendimiento complejas (LST), resaltando los riesgos potenciales en la integración de estos tokens con protocolos DEX.

Defensa colaborativa: cómo responde el ecosistema ante la pérdida de fondos

Es importante destacar que, tras el incidente, el ecosistema DeFi mostró una capacidad rápida de control de riesgos.

StakeWise, uno de los protocolos más afectados, actuó rápidamente y logró recuperar cerca de 19 millones de dólares en osETH, aproximadamente el 73.5% del total de pérdidas en ese activo, demostrando una respuesta rápida y efectiva en control interno y colaboración con socios de seguridad.

Balancer y sus socios de seguridad activaron mecanismos de defensa en múltiples niveles:

• Pausaron todos los pools afectados.
• Prohibieron la creación de nuevos pools para evitar que la vulnerabilidad fuera explotada adicionalmente.
• Suspendieron la distribución de recompensas en pools identificados como riesgosos, para congelar comportamientos maliciosos impulsados por incentivos.

En un nivel más amplio, protocolos como Sonic Labs realizaron congelaciones de emergencia; los validadores de Berachain incluso suspendieron temporalmente la red para impedir que los atacantes transfirieran fondos. Esta colaboración interprotocolo y multired, en la que se actúa como una especie de “apagón parcial”, refleja la madurez en seguridad de DeFi y una respuesta colectiva ante riesgos sistémicos.

Hoja de ruta para la recuperación y lecciones para los constructores del sector

Rastreo de activos y reporte final: la transparencia, clave para reconstruir confianza

Actualmente, el equipo de Balancer trabaja en colaboración con expertos en seguridad para auditar y verificar los activos perdidos. Se ha prometido que, tras validar todos los contratos y transacciones afectados, se publicará un informe final que confirme las cifras totales de pérdida y el estado de recuperación de los activos.

Para los desarrolladores y constructores en DeFi, este incidente es una advertencia:

1. Revisión de precisión en funciones: las funciones de redondeo y manejo de factores de multiplicación en contratos desplegados en EVM deben someterse a verificaciones formales más rigurosas, asegurando que toda lógica matemática relacionada con activos sea robusta.
2. Aislamiento de riesgos: aunque la integración profunda entre protocolos aumenta la eficiencia del capital, también puede ampliar el impacto de una sola vulnerabilidad a múltiples cadenas.

Hasta que se complete la recuperación de los activos, se recomienda a todos los usuarios evitar interactuar con los contratos afectados y mantenerse atentos a las comunicaciones oficiales para prevenir ataques de phishing o fraudes posteriores.

Conclusión

La pérdida masiva de 116 millones de dólares en Balancer, atribuida a un error de redondeo, reafirma la alta exigencia de precisión en el código en el espacio DeFi. Aunque la magnitud de la pérdida es dolorosa, la respuesta rápida, la congelación de fondos y la recuperación parcial demuestran que la infraestructura DeFi está fortaleciendo su resiliencia ante crisis. En el futuro, la comunidad debe centrarse en cómo Balancer puede mejorar sus auditorías y actualizaciones de código para garantizar la solidez de su lógica AMM, que es fundamental para mantener su liderazgo en el mercado.