Autor: Jack Inabinet Fuente: bankless Traducción:善欧巴，金色财经

Análisis de las consecuencias posteriores a la vulnerabilidad en Balancer V2

Balancer es una plataforma de intercambio descentralizado popular, caracterizada por su reequilibrio automático de pools de liquidez y su mecanismo de recompensas por liquidez basado en tokens. Recientemente, su bóveda de liquidez en la versión V2 fue víctima de un robo, con pérdidas que alcanzan decenas de millones de dólares.

Varias versiones bifurcadas de Balancer V2 (es decir, intercambios alternativos que reutilizan el código de Balancer) también se vieron afectadas, y varias cadenas de bloques impactadas tomaron medidas agresivas para mitigar pérdidas futuras.

¿Por qué este incidente ha provocado una reacción en cadena en la industria de encriptación? A continuación, se analizará en detalle.

El gran error de Balancer

El 3 de noviembre (lunes) en la madrugada, la bóveda de Balancer V2 desplegada en cadenas como Ether, Base, Polygon y Arbitrum fue atacada por una vulnerabilidad, con pérdidas cercanas a 80 millones de dólares. El problema residió únicamente en los “Pools Estables Combinables” de la versión V2, sin afectar a Balancer V3 ni a otros tipos de pools.

La plataforma de análisis de datos DeFiLlama muestra que Balancer V2 tiene 27 versiones bifurcadas independientes. Aunque la mayoría de estos protocolos bifurcados tienen cantidades de bloqueo insignificantes, los atacantes lograron robar 3.4 millones de dólares del protocolo Beets del ecosistema Sonic, y 283,000 dólares del protocolo Beethoven del ecosistema Optimism. Además, la bolsa nativa BEX construida sobre Balancer en la cadena Berachain tiene aproximadamente 12 millones de dólares en fondos de usuarios en riesgo.

Hasta el momento de redactar este artículo, Balancer no ha publicado un informe oficial de análisis posterior, pero algunos opinan que la raíz de la vulnerabilidad radica en una deficiencia en la verificación de acceso en la función “manageUserBalance”; otros especulan que el ataque se originó en la manipulación de la “variable invariante” en los precios de los tokens en los pools de Balancer.

Tras el ataque, los usuarios de Balancer y sus protocolos bifurcados evacuaron rápidamente sus activos para protegerlos. Un usuario ballena, que había estado inactivo durante tres años, retiró en una sola transacción todos los 6.5 millones de dólares en activos GNO-WETH del protocolo Balancer en solo 30 minutos después del ataque.

Para limitar las pérdidas, algunas cadenas de bloques tomaron medidas extremas — estas acciones agresivas difuminaron la línea entre la gestión de crisis y el control centralizado:

Polygon, que desplegó Balancer V2 con pérdidas de solo aproximadamente 100,000 dólares, optó por revisar las transacciones del hacker, lo que en la práctica congela los activos digitales robados en su lugar;

Sonic modificó la lógica del token nativo “S”, otorgando a la fundación Sonic la capacidad unilateral de poner en lista negra (Congelado) direcciones de billeteras (prohibiendo la posesión del token nativo), y vació el saldo de tokens S del atacante;

Mientras tanto, Berachain detuvo completamente la generación de bloques en toda la red, pausando la producción de bloques para evitar que la bolsa oficial BEX sufra más robos de activos.

Preguntas clave generadas por Balancer

Este ataque a Balancer plantea dos cuestiones fundamentales para toda la industria de encriptación.

Pregunta uno: Si Balancer V2 puede ser atacado fácilmente, ¿qué otros protocolos de Finanzas descentralizadas son seguros?

Balancer V2 es un protocolo probado: lleva más de cuatro años en operación y ha sido auditado por varias instituciones independientes. Sin embargo, si un protocolo tan establecido puede ser vulnerado con facilidad, surge la duda — ¿qué otros protocolos de Finanzas descentralizadas son realmente seguros?

Sin duda, los usuarios disfrutan de las ventajas que ofrece la cadena de bloques, pero cuando una vulnerabilidad en un protocolo fundamental de DeFi pasa desapercibida por múltiples auditorías durante años, cada vez será más difícil confiar plenamente en la seguridad de las aplicaciones basadas en contratos inteligentes sin permisos.

Pregunta dos: Si algunas cadenas de bloques tienen la capacidad de Congelar fondos de hackers, ¿por qué las autoridades regulatorias no pueden obligar a estas cadenas (y otras con control similar) a Congelar todas las actividades que consideren ilegales?

Dado que cadenas como Polygon, Sonic y Berachain tienen la capacidad de Congelar fondos de atacantes, ¿por qué las autoridades regulatorias no pueden obligar a estas cadenas (y a otras con niveles similares de centralización) a Congelar todas las actividades que consideren ilícitas?

En marzo de 2023, la interfaz de la bóveda de MakerDAO, Oasis.app (ahora renombrada a Summer.fi), cumplió con una orden del Tribunal Superior de Inglaterra y Gales, accediendo a sus contratos inteligentes mediante una puerta trasera con clave de administrador, para recuperar 225 millones de dólares en activos encriptados tras el incidente con el puente cross-chain Wormhole.

Este incidente demuestra que los sistemas legales tradicionales pueden, mediante arrestos u otras acciones legales, obligar a los protocolos descentralizados a tomar ciertas medidas. Ahora, ¿es posible que las autoridades regulatorias adopten este mismo enfoque — usando solo una orden judicial para tomar acciones contra actividades en múltiples cadenas que consideren no autorizadas, como transacciones sin regulación gubernamental o sin verificación de identidad?