balancer acaba de ser drenado por ~$116M esto no fue sofisticado. fue un error básico de control de acceso en su contrato de vault aquí está cómo sucedió, lo que revela - y por qué debería asustar a cada protocolo de defi vivo: 1/

el exploit afectó a balancer v2 hoy en ethereum, arbitrum, polygon, base, optimism y más totalizando más de $116M. 6,590 WETH. 6,851 osETH. 4,260 wstETH todos retirados del vault principal en 0xBA1...BF2C8 2/

el error estaba en "manageUserBalance" - una función que se supone que valida quién puede mover fondos en su lugar, confundió msg.sender con un campo op.sender proporcionado por el usuario los atacantes utilizaron operaciones WITHDRAW_INTERNAL para drenar tokens que nunca depositaron 3/

¿Qué hace esto peor? Balancer V2 utiliza un solo vault para todo. cada pool, cada cadena. Golpea el vault, golpéalos a todos. Muchos forks también están en riesgo. 4/

este es el tercer gran hackeo de Balancer en cinco años 2021, 2023 y ahora 2025: más de $116M y contando 5/

hagamos un zoom out. Balancer no es un experimento. $750M TVL. auditado. en vivo durante años. y aún así: un error básico de control de acceso estuvo en producción, las auditorías lo pasaron por alto, sin una validación adecuada del remitente, fondos mezclados en una bóveda central.

este es el tercer gran hackeo de Balancer en cinco años 2021: millones perdidos 2023: $238K después de ser advertidos 2025: $116M+ esto no es solo un problema de Balancer. es un problema de ilusión en defi "auditado" =/= seguro. "probado en batalla" =/= seguro 7/

conclusión: los errores básicos de control de acceso siguen destruyendo protocolos de primera línea si estás construyendo: revisa cada verificación de permisos dos veces. si eres un usuario: "auditado" significa que alguien miró una vez, no que sea a prueba de balas esto no era avanzado. simplemente somos descuidados 8/

defi puede hacerlo mejor. pero primero, necesitamos admitir: lo básico sigue importando más que el bombo. publicaré más a medida que evolucione la pista onchain 9/

hay algunos informes de que el atacante no solo explotó permisos. manipuló el precio de BPT a través de la pérdida de precisión en las matemáticas de StableSwap. - drenar un token hasta un límite de redondeo - explotar errores de redondeo para devaluar el precio de BPT - recomprar BPT barato, obtener ganancias /10

más detalles aquí sobre cómo se realizó la manipulación de precios[1] sigo esperando la respuesta oficial de balancer. seguiré actualizando el hilo a medida que las cosas se desarrollen. [1]