Netcrook Logo
👤 CIPHERWARDEN
🗓️ 07 Nov 2025   🗂️ Threats    

El robo de $128 millones del pool de Balancer: cómo un pequeño fallo matemático se convirtió en el atraco bancario más rápido de DeFi

En menos de 30 minutos, un error de precisión en el contrato principal de Balancer permitió a los atacantes drenar $128 millones, exponiendo los peligros ocultos que acechan en la fontanería matemática de DeFi.

Datos Rápidos

  • Los atacantes desviaron $128,64 millones de pools de Balancer en seis blockchains el 3 de noviembre de 2025.
  • La explotación duró menos de 30 minutos y se centró en un error de redondeo en la lógica aritmética de Balancer.
  • Contratos automatizados ejecutaron 65 “micro-swaps” rápidos para manipular el precio de los tokens antes de extraer los fondos.
  • La vulnerabilidad implicaba errores minúsculos que se acumulaban durante transacciones repetidas de bajo valor.
  • Todos los fondos robados fueron canalizados a direcciones controladas por los atacantes usando la propia contabilidad interna de Balancer.

Un atraco digital en un abrir y cerrar de ojos

Imagina una bóveda digital tan avanzada que puede manejar cientos de monedas a la vez, pero que un solo fallo inadvertido en la cerradura permite a un ladrón entrar, sin ser detectado, y vaciar el cofre antes de que nadie parpadee. Eso es precisamente lo que le ocurrió a Balancer, uno de los protocolos más confiables de DeFi, en las primeras horas del 3 de noviembre de 2025. Los monitores blockchain de Check Point Research dieron la alarma cuando los atacantes drenaron quirúrgicamente $128 millones de los contratos ComposableStablePool de Balancer, apuntando a seis blockchains en un ataque coordinado que duró menos de media hora.

Anatomía de un pequeño error con consecuencias catastróficas

En el corazón de la brecha había un error engañosamente simple: un fallo de redondeo en el código que gestiona cómo se calculan las fracciones diminutas de tokens durante los intercambios. En términos técnicos, el fallo residía en la función “upscale Array”, donde la división repetida de cantidades minúsculas (tan pequeñas como 8–9 wei, las unidades más pequeñas de Ethereum) causaba pequeños errores de precisión. Normalmente, estos errores son inofensivos. Pero en el mundo de las finanzas descentralizadas, donde los contratos pueden ejecutar cientos de transacciones en segundos, estos errores se multiplican.

El atacante, aprovechando un contrato automatizado de explotación, orquestó 65 “micro-swaps” a toda velocidad. Cada uno desviaba aún más las matemáticas internas del pool, haciendo que el precio de los Balancer Pool Tokens (BPT) se desplomara artificialmente. Como un estafador experto explotando una laguna en la ruleta de un casino, el atacante compró BPT a precios de ganga y los canjeó inmediatamente por su valor real en el mundo real. La diferencia, multiplicada en docenas de pools y miles de tokens, sumó un botín de nueve cifras.

No es el primero, ni será el último

Aunque la velocidad y escala de este ataque fueron impactantes, el modus operandi era conocido. La historia de DeFi está plagada de exploits similares: el hackeo del puente Wormhole en 2022 ($320M), el bug de Euler Finance en 2023 y un sinfín de ataques de flash loans, todos explotando casos límite pasados por alto en la lógica o matemáticas de los contratos inteligentes. Los expertos en seguridad han advertido durante mucho tiempo que la cultura open-source de DeFi, aunque fomenta la innovación, también permite a los adversarios examinar el código en busca de este tipo de vulnerabilidades.

Según un informe de Chainalysis de 2024, las brechas en protocolos DeFi representaron más del 60% de los robos cripto ese año, siendo los errores aritméticos simples de los más lucrativos. El incidente de Balancer es un recordatorio contundente: en el mundo del dinero programable, incluso el más mínimo error de cálculo puede convertirse en una autopista para los ciberdelincuentes.

El impacto en el mercado - y el camino por delante

La noticia del exploit sacudió los mercados DeFi, con el precio del token de Balancer y el valor total bloqueado (TVL) desplomándose en cuestión de horas. Más allá de las pérdidas financieras inmediatas, el ataque ha reavivado los debates sobre la auditoría de contratos inteligentes, los incentivos de bug bounty y la necesidad de pruebas adversariales, donde los desarrolladores intentan “pensar como un atacante” antes de que el código se haga público. A medida que los protocolos DeFi se vuelven más complejos e interconectados, la industria enfrenta una dura verdad: la seguridad no es solo cuestión de corregir errores, sino de anticipar cómo las imperfecciones más pequeñas pueden ser aprovechadas a gran escala.

La brecha de Balancer es un escalofriante caso de estudio sobre los peligros de la complacencia digital. A medida que DeFi madura, sus mayores amenazas pueden no ser los hacks que acaparan titulares, sino las grietas silenciosas e invisibles en sus cimientos matemáticos. Solo sometiendo cada línea de código a pruebas rigurosas - e imaginando todas las formas posibles en que podría fallar - la próxima generación de protocolos podrá esperar mantener la bóveda realmente segura.

WIKICROOK

  • DeFi (Finanzas Descentralizadas): DeFi (Finanzas Descentralizadas) ofrece servicios financieros como préstamos e intercambios en redes blockchain, eliminando la necesidad de bancos o autoridades centrales.
  • Contrato Inteligente: Un contrato inteligente es un código autoejecutable en una blockchain que aplica reglas y procesos automáticamente, eliminando la necesidad de intermediarios.
  • Error de Redondeo: Un error de redondeo es un pequeño fallo al aproximar números en cálculos computacionales, que puede volverse significativo si se repite o no se corrige.
  • Micro: Un ‘micro’ es una transacción diminuta y rápida con pocos tokens, utilizada a menudo para explotar errores de precisión en el código o para micropagos legítimos.
  • Invariante: Un invariante es una regla o condición que siempre debe cumplirse en un sistema para garantizar su seguridad, estabilidad o corrección.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news