Saltar al contenido principal

El error de redondeo de $128 millones: Cómo un fallo matemático de menos de un centavo vació el AMM más antiguo de DeFi en nueve cadenas

· 12 min de lectura
Dora Noda
Dora Noda
Software Engineer

Ocho wei. Eso es aproximadamente 0.000000000000000008 de un token — una cantidad tan pequeña que no tiene un valor significativo en dólares. Sin embargo, el 3 de noviembre de 2025, un atacante convirtió errores de redondeo a esa escala en 128 millones de dólares en activos robados, vaciando los Composable Stable Pools de Balancer en nueve blockchains en menos de treinta minutos.

El exploit de Balancer V2 es ahora el mayor exploit DeFi multi-cadena de una sola vulnerabilidad en la historia. Eliminó el 52% del valor total bloqueado (TVL) de Balancer de la noche a la mañana, sobrevivió a más de diez auditorías de seguridad de las principales firmas de la industria y obligó a una cadena — Berachain — a ejecutar un hard fork de emergencia solo para recuperar los fondos. ¿La vulnerabilidad? Una sola línea de código que redondeaba en la dirección incorrecta.

Cómo funcionan los pools de Balancer — y dónde fallaron

Balancer V2 utiliza un concepto prestado del modelo StableSwap de Curve: un invariante matemático llamado D que representa el valor total bloqueado en un pool. Cada vez que un usuario intercambia tokens, el protocolo recalcula D para asegurar que el pool se mantenga equilibrado. El precio de los Balancer Pool Tokens (BPT) — los tokens de LP que los usuarios reciben al depositar liquidez — se deriva directamente de este invariante: precio de BPT = D / totalSupply.

Antes de calcular D, el protocolo debe normalizar los saldos de los tokens a una precisión común utilizando funciones de escalado. Aquí es donde residía el fallo fatal.

La función _upscaleArray utilizaba mulDown (redondear hacia abajo) al convertir los saldos de tokens brutos a valores escalados. Para saldos de tamaño normal — miles o millones de tokens — redondear hacia abajo por una fracción de un wei es irrelevante. Pero cuando el saldo de un token se lleva al límite de solo 8–9 wei, la división de enteros de Solidity convierte ese pequeño error de redondeo en una distorsión relativa masiva.

A los 8 wei, redondear hacia abajo incluso 1 wei representa una pérdida de precisión del 12.5%. Al introducir ese saldo distorsionado en el cálculo del invariante, D disminuye. Cuando D disminuye, el precio de BPT disminuye. Cuando el precio de BPT baja artificialmente, un atacante puede comprar barato y canjear al valor total.

El ataque: 65 micro-swaps en una sola transacción

El sistema de monitoreo de blockchain de Check Point Research detectó el exploit a las 07:46 UTC del 3 de noviembre de 2025. Para entonces, el contrato inteligente del atacante ya estaba ejecutando una secuencia devastadora.

El ataque se desarrolló en tres etapas, todas empaquetadas en una sola transacción batchSwap que contenía 65 operaciones de intercambio:

Etapa 1 — Empujar al límite. El atacante intercambió grandes cantidades de BPT por tokens subyacentes, drenando deliberadamente el saldo del pool de un token hasta el umbral crítico de 8–9 wei. Con este saldo, cada operación posterior que involucrara ese token activaría la pérdida máxima de precisión.

Etapa 2 — Agravar el error. Con un token fijado en el límite de redondeo, el atacante ejecutó intercambios pequeños y rápidos. Cada intercambio activaba la función _upscaleArray para redondear hacia abajo durante el escalado, lo que provocaba que el invariante D se subestimara sistemáticamente. La pérdida de precisión de un solo intercambio era insignificante. Pero a lo largo de 65 operaciones dentro de la misma llamada batchSwap, las pérdidas se acumularon drásticamente — lo suficiente como para suprimir artificialmente el precio de BPT muy por debajo de su valor real.

Etapa 3 — Comprar bajo, canjear alto. El atacante compró BPT al precio suprimido e inmediatamente canjeó esos tokens por los activos subyacentes a su valor total. La diferencia entre el precio manipulado y el precio real fue pura ganancia.

Toda la secuencia — desde el primer intercambio hasta el vaciado final — tomó menos de treinta minutos. El atacante desplegó contratos inteligentes personalizados con la lógica del exploit integrada en el constructor, lo que significa que el ataque se ejecutó automáticamente al desplegarse sin necesidad de más interacción.

Nueve cadenas, un error

Lo que elevó esto de un exploit serio a uno histórico fue el radio de impacto. El mismo código vulnerable se ejecutaba en cada cadena donde se habían desplegado los Composable Stable Pools de Balancer V2:

  • Ethereum — los pools más grandes y las pérdidas más cuantiosas
  • Arbitrum — liquidez significativa drenada
  • Base — la L2 de Coinbase afectada
  • Optimism — pools de OP Stack vaciados
  • Polygon — pools de larga data como objetivo
  • Avalanche — pools de la C-Chain comprometidos
  • Gnosis — menor escala pero también afectada
  • Berachain — cadena recién lanzada fuertemente golpeada
  • Sonic — el despliegue más reciente, también vulnerable

El atacante no necesitó nueve exploits diferentes. Necesitó uno — desplegado nueve veces. El código base compartido de Balancer, que permitía un despliegue multi-cadena eficiente, se convirtió en el vector para una destrucción multi-cadena simultánea.

Es importante destacar que otros tipos de pools de Balancer (Weighted Pools, Managed Pools) y el protocolo V3 más reciente no se vieron afectados en absoluto. El error era específico de la matemática de los Composable Stable Pools.

El colapso del TVL

Antes del exploit, Balancer V2 mantenía $442 millones en valor total bloqueado. En 24 horas, esa cifra cayó a $214 millones — una caída libre del 52%. A medida que se difundían las noticias y los proveedores de liquidez se apresuraban a retirar fondos de los pools no afectados por precaución, el TVL continuó deslizándose hasta aproximadamente $182 millones en las semanas siguientes.

Para un protocolo que había sido un pilar de DeFi desde 2020, la caída fue devastadora. Balancer había superado el mercado bajista de 2022, el colapso de Terra y la implosión de FTX. Un error de redondeo logró lo que las catástrofes macroeconómicas no pudieron.

Recuperación: Hard Forks, White Hats y $ 33 millones Rescatados

Las secuelas produjeron uno de los esfuerzos de recuperación más dramáticos en la historia de las DeFi.

El hard fork de emergencia de Berachain. La cadena recién lanzada tomó la acción más agresiva: los validadores coordinaron un hard fork de emergencia que congeló los fondos del atacante on-chain. Un operador identificado como white-hat devolvió los $ 12.8 millones en activos robados de Berachain, permitiendo una recuperación total para los usuarios afectados en esa cadena.

Recuperación directa de StakeWise. El protocolo de staking líquido ejecutó una llamada a contrato a través de su multisig de emergencia para recuperar aproximadamente 5,041 osETH ($ 19.3 millones) y 13,495 osGNO ($ 1.7 millones), lo que representa el 73.5 % de su osETH robado.

Esfuerzos white-hat de la comunidad. Recuperaciones adicionales elevaron el total rescatado a aproximadamente $ 33 millones, reduciendo las pérdidas netas a unos $ 95 millones.

Los fondos restantes — principalmente en Ethereum y Arbitrum — fueron convertidos a ETH por el atacante y permanecen en billeteras identificadas. No se sabe con certeza si se recuperarán mediante negociaciones, acciones legales u ofertas de recompensas por errores (bug bounties).

Diez Auditorías, Cero Detecciones

La verdad más incómoda sobre el exploit de Balancer es esta: el código había sido auditado más de diez veces por las firmas de seguridad más respetadas de la industria, incluidas OpenZeppelin, Trail of Bits y Certora.

En 2022, Certora verificó formalmente las propiedades clave de solvencia en Balancer V2. Pero esas pruebas formales específicamente no cubrieron los riesgos de dirección de redondeo en las funciones de escalado. Las propiedades verificadas demostraron que las pools no podían ser vaciadas bajo condiciones normales, pero las "condiciones normales" no contemplaban que un atacante empujara deliberadamente el saldo de un token a 8 wei.

Trail of Bits señaló después del exploit que los problemas de redondeo habían sido marcados en auditorías anteriores, pero no se priorizaron como de alto riesgo. El razonamiento era comprensible en ese momento: los errores de redondeo individuales producen pérdidas insignificantes. Nadie modeló lo que sucede cuando 65 de ellos se acumulan en una sola transacción atómica.

Esto refleja un patrón que la industria DeFi sigue redescubriendo. Las auditorías son revisiones de alcance limitado: instantáneas de un código específico en momentos específicos. Prueban patrones de ataque conocidos y verifican propiedades específicas. No son garantías. Cuando los protocolos evolucionan, cuando se añaden nuevos tipos de pools, cuando el código se despliega en nuevas cadenas, la brecha entre lo que fue auditado y lo que se ejecuta en producción crece silenciosamente.

La Tesis de "La Especificación es la Ley"

El exploit de Balancer se ha convertido en un caso de estudio para los defensores de la especificación formal: la práctica de escribir definiciones matemáticas de cómo debería comportarse un protocolo antes de escribir el propio código.

El argumento, defendido por firmas como a16z y Certora, es sencillo: si Balancer hubiera mantenido una especificación formal que estableciera que "el redondeo nunca debe causar que D disminuya más de un X % por operación" o "el error de redondeo acumulado en N intercambios debe permanecer limitado", la vulnerabilidad se habría detectado durante la verificación en lugar de en producción.

El invariante canónico utilizado en la mayoría de las auditorías DeFi — "el redondeo debe favorecer al protocolo" — resultó insuficiente. Captura la dirección del redondeo pero no la magnitud del error acumulado en flujos de múltiples operaciones. Un enfoque basado primero en la especificación obligaría a los diseñadores de protocolos a definir y defender cada invariante matemático en el que confía su sistema, incluidos los casos extremos en rangos de saldo extremos.

¿Si este enfoque puede escalar al ritmo del desarrollo de las DeFi? Es una pregunta abierta. Escribir y mantener especificaciones formales requiere una inversión significativa. Pero como demostró el exploit de Balancer, el costo de no hacerlo puede ser de nueve cifras.

Lo que esto significa para la seguridad de las DeFi

El exploit de Balancer cristaliza varias tendencias que están remodelando la forma en que la industria piensa sobre la seguridad de los protocolos:

Las bases de código compartidas amplifican el riesgo. El despliegue multichain es eficiente, pero significa que una sola vulnerabilidad se convierte en una catástrofe multicadena. Los protocolos que se despliegan en varias cadenas necesitan monitoreo específico para cada cadena y la capacidad de pausar despliegues individuales de forma independiente.

La aritmética de precisión es una preocupación de seguridad de primer nivel. Los errores de redondeo no son problemas contables menores. En protocolos que gestionan miles de millones en TVL, las pérdidas de precisión de menos de un centavo pueden ser utilizadas como armas. Cada función de escalado, normalización y conversión necesita un análisis explícito de la dirección de redondeo.

Las operaciones por lotes necesitan garantías de pérdida limitada. La función batchSwap fue diseñada para la eficiencia de gas, permitiendo múltiples intercambios en una sola transacción. Pero también permitió que los errores se acumularan sin una validación intermedia. Las implementaciones futuras deberían incluir verificaciones de invariantes entre las operaciones por lotes, no solo al principio y al final.

La seguridad continua supera a las auditorías puntuales. El análisis post-mortem de Trail of Bits enfatizó que la industria debe pasar de compromisos de auditoría aislados a asociaciones de seguridad continuas, que incluyan fuzzing constante, verificación formal de bases de código en evolución y monitoreo en tiempo real con capacidades de pausa automatizadas.

La infraestructura de recuperación importa. La capacidad de Berachain para realizar un hard fork y congelar fondos, junto con la recuperación mediante el multisig de emergencia de StakeWise, salvaron $ 33 millones. Los protocolos y cadenas que invierten en infraestructura de respuesta a incidentes antes de necesitarla están mejor posicionados cuando llega el inevitable exploit.

La cuestión de Balancer V3

Un aspecto positivo: Certora confirmó que la arquitectura de Balancer V3 no se ve afectada por esta vulnerabilidad. El rediseño de V3 aborda las inconsistencias de escalado que permitieron el exploit, lo que sugiere que el equipo de Balancer ya había identificado el manejo de la precisión como un área de mejora — incluso si no se había anticipado el vector de ataque específico.

Para los proveedores de liquidez que consideran regresar a Balancer, la adopción de V3 se convierte en la métrica crítica. La viabilidad a largo plazo del protocolo depende de si puede migrar la liquidez restante de V2 a la arquitectura más segura antes de que la confianza se erosione aún más.

La lección que se sigue repitiendo

DeFi ha perdido ya más de $2 mil millones por ataques de flash loans y exploits matemáticos desde 2020. El exploit de Balancer es la ilustración más cruda hasta ahora de un patrón que la industria no parece poder romper: pequeños errores aritméticos, invisibles para los auditores e ignorados durante años, se convierten en desastres de nueve cifras cuando un atacante encuentra la secuencia correcta de operaciones para potenciarlos.

Ocho wei de error de redondeo. $128 millones robados. Nueve cadenas comprometidas. Diez auditorías eludidas. Treinta minutos desde el primer swap hasta el último drenaje.

Los números cuentan una historia que la industria DeFi ya no puede permitirse ignorar: en un sistema donde el código es la ley, cada decisión de redondeo es una decisión de seguridad.

BlockEden.xyz proporciona infraestructura de RPC y API de grado empresarial a través de múltiples redes blockchain, con monitoreo integrado diseñado para detectar actividad on-chain anómala. A medida que los protocolos DeFi lidian con los desafíos de seguridad cross-chain, una infraestructura confiable con observabilidad en tiempo real se vuelve esencial. Explore nuestro marketplace de APIs para construir sobre cimientos diseñados para un desarrollo centrado en la seguridad.

Share on Twitter