El hack de Balancer de 120 milions de dòlars va explotar un error darrodoniment entre cadenes.

Aquesta vulnerabilitat crítica en el protocol d'intercanvi descentralitzat Balancer va permetre als atacants extreure més de 120 milions de dòlars explotant un error de redondeig en el mecanisme d'intercanvi en lots. L'anàlisi indica que la lògica defectuosa de la funció d'intercanvi EXACT_OUT, de forma inadequada, va augmentar i reduir les quantitats de tokens al llarg de diversos passos, creant desequilibris de saldo petits que s'acumulaven amb transaccions repetides. Aquestes discrepàncies, semblants a raspar fraccions de cèntim, van ser drenades de manera sistemàtica per l'atacant fins que les condicions van activar mesures de liquiditat insuficients.

L'explot va dirigir-se a piscines que contenen tokens amb diferents precisions decimals, una situació que va passar desapercebuda malgrat múltiples auditories de seguretat. Durant les operacions en lots, el codi de Balancer va convertir les quantitats d'entrada a una representació de 18 decimals abans d'executar els càlculs de preu, i després va revertir els resultats als decimals nadius del token. En alguns casos, el pas final d'escalat a la baixa va arrodonir els valors cap amunt, atorgant actius en excés a l'iniciador de l'intercanvi. Orquestrant micro-intercanvis d'alta freqüència, l'atacant va generar guanys acumulatius que van eludir els límits de desviació de preu a la cadena.

Un cop es va descobrir l'incident, l'equip de Balancer va emetre un informe preliminar i va coordinar amb validadors de blockchain i operadors de nodes per implementar mesures d'emergència. A Polygon i Sonic, els òrgans de govern van activar mòduls de congelació per bloquejar els contractes de les piscines afectades i interceptar transferències sortints. Els grups d'interès de Berachain van aprovar un fork dur d'emergència per desfer la finestra d'explot i permetre la restitució per als proveïdors de liquiditat. Aquestes intervencions destaquen les tensions contínues entre els principis de registre immutable i la resposta ràpida davant de crisi en els ecosistemes DeFi.

L'incident ha reavivat debats sobre la centralització dels controls de seguretat, amb crítics que sostenen que les funcions de congelació i els forks durs contradiuen l'esperit de"el codi és la llei". Els defensors rebat que les eines de governança adaptatives són necessàries per protegir els usuaris en entorns d'alt risc. La vulnerabilitat de Balancer subratlla la importància de verificacions rigoroses del maneig de decimals i posa en relleu vectors d'atac evolutius que aprofiten casos límit matemàtics. Els desenvolupadors del protocol estan ara revisant marcs d'auditoria i integrant proves automàtiques de fuzz per a operacions decimals per evitar explotacions similars en futures versions.