-
El pirata informàtic hauria violat el codi dels contractes intel·ligents de Balancer.
-
El preu del token natiu de Balancer, BAL, va caure en picat després de l’atac.
El 3 de novembre de 2025, Balancer, un intercanvi descentralitzat (DEX) basat en Ethereum, va patir una explotació que va provocar l’esgotament de fons per un valor estimat de 116 milions de dòlars en actius digitals.
Aquest incident és un dels pirates més grans a les plataformes de finançament descentralitzat (DeFi) d’aquest any i el pitjor de la història de Balancer. L’atac hauria afectat part de la liquiditat dipositada a la borsa.
Des del compte de X, l’equip DEX va confirmar l’atac:
Som conscients d’una possible explotació que afecta els grups de Balancer V2. Els nostres equips d’enginyeria i seguretat estan investigant amb alta prioritat. Compartirem les actualitzacions verificades i els passos següents tan aviat com tinguem més informació.
Equip Equilibrant.
En aquests DEX, els “pools” són contractes intel·ligents que agrupar els fons dels usuaris per facilitar l’intercanvi de fitxes sense intermediaris.
Que un exploit hagi afectat aquests grups significa que un actor maliciós hauria trobat una vulnerabilitat al codi del contracte, permetent-ne alterar el funcionament normal i retirar actius.
Segons dades de la firma de seguretat PeckShield, els fons esgotats inclouen versions embolcallades d’èter, entre d’altres:
- 6.587 WETH (24,4 milions de dòlars).
- 6.851 osETH (gairebé 27 milions de dòlars).
- 4.260 wstETH (19,3 milions de dòlars).
- Stablecoins i més de 60.000 fitxes estàndard ERC-20.
En el moment d’aquest article, Nansen, una plataforma de recerca en cadenai Ted Pillows, un comerciant de criptomoneda, col·locat l’import total del pirateig és de 116 milions de dòlars.
D’altra banda, segons informa CriptoNoticias, el preu del token natiu de DEX, BAL, es va ensorrar després del pirateig de Balancer.
Com es va executar l’atac a Balancer, el DEX basat en Ethereum?
Segons l’anàlisi dels investigadors en cadenal’atac dirigit a la voltes (bóvedes) i fons de liquiditat de la versió 2 (V2) de Balancer.
En aquest protocol, el voltes Són contractes intel·ligents que emmagatzemen els fons de tots els pools i coordinen les operacions d’intercanvi entre ells.
Durant la creació o inicialització d’un pool, aquests contractes executen una sèrie de “calls” que serveixen per comunicar ordres (per exemple, registrar un nou actiu o establir paràmetres de liquiditat) entre diferents components del sistema.
L’atacant hauria desplegat un contracte maliciós que interceptat i manipulat aquestes trucades durant el procés de configuració, aconseguint alterar el comportament esperat del volta.
El fracàs hauria estat dins com el protocol gestiona els permisos d’interacció entre contractes i les funcions automàtiques conegudes com “devolucions de trucada” (devolució de trucada), que permeten a un contracte respondre o executar tasques quan un altre l’invoca.
Aprofitant una debilitat en aquest mecanisme, l’atacant va poder fer que el seu contracte executés operacions no autoritzades, com ara intercanvis o transferències de testimonis, sense la validació adequada.
Això li va permetre moure fons entre grups d’una manera encadenada i ràpidadrenant part dels actius emmagatzemats abans que el sistema o els validadors poguessin reaccionar.
