Una vulnerabilidad crítica en el protocolo de intercambio descentralizado Balancer permitió a los atacantes extraer más de 120 millones de dólares aprovechando un error de redondeo en el mecanismo de intercambio en lotes. El análisis indica que la lógica defectuosa en la función de intercambio EXACT_OUT escalaba y rebajaba incorrectamente las cantidades de tokens a través de múltiples pasos, creando desbalances de saldo minúsculos que se acumulaban con transacciones repetidas. Estas discrepancias, similares a afinar fracciones de un centavo, fueron drenadas sistemáticamente por el hacker hasta que las condiciones desencadenaron salvaguardas de liquidez insuficientes.
El exploit se dirigió a pools que contenían tokens con diferentes precisiones decimales, un escenario que pasó desapercibido a pesar de múltiples auditorías de seguridad. Durante las operaciones en lote, el código de Balancer convertía las cantidades de entrada a una representación de 18 decimales antes de ejecutar los cálculos de precio, y luego devolvía los resultados a los decimales nativos de los tokens. En algunos casos, el paso final de escalado a la baja redondeaba los valores hacia arriba, otorgando activos excedentes al iniciador del swap. Al orquestar micro-swaps de alta frecuencia, el atacante generó ganancias acumuladas que eludían los límites de deslizamiento en la cadena.
Al ser descubierto, el equipo de Balancer emitió un informe preliminar y coordinó con validadores de blockchain y operadores de nodos para implementar medidas de emergencia. En Polygon y Sonic, los órganos de gobernanza implementaron módulos de congelación para bloquear los contratos de pools afectados e interceptar transferencias salientes. Los interesados de Berachain aprobaron una bifurcación dura de emergencia para revertir la ventana de explotación y habilitar la restitución para los proveedores de liquidez. Estas intervenciones destacan las tensiones en curso entre los principios de libro mayor inmutables y la respuesta rápida ante crisis en ecosistemas DeFi.
El incidente ha reavivado los debates sobre la centralización de los controles de seguridad, con críticos argumentando que las funciones de congelación y las bifurcaciones duras contradicen la ética de «el código es la ley». Los defensores sostienen que las herramientas de gobernanza adaptativa son necesarias para proteger a los usuarios en entornos de alto riesgo. La vulnerabilidad de Balancer subraya la importancia de verificaciones rigurosas de manejo decimal y destaca vectores de ataque en evolución que aprovechan casos límite matemáticos. Los desarrolladores de protocolo están revisando ahora los marcos de auditoría e integrando pruebas automatizadas de fuzz para operaciones decimales con el fin de prevenir exploits similares en futuras versiones.
Comentarios (0)