AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Grave ataque al protocolo Balancer v2: más de 128 millones de dólares sustraídos en uno de los mayores incidentes DeFi de 2024**

admin

### 1. Introducción

El ecosistema de las finanzas descentralizadas (DeFi) vuelve a ser noticia tras el reciente ataque al protocolo Balancer v2, que ha supuesto la sustracción de más de 128 millones de dólares en diversos activos digitales. Este incidente, uno de los más significativos en lo que va de año, pone de manifiesto la criticidad de las vulnerabilidades en los smart contracts y la sofisticación creciente de los actores maliciosos en el sector blockchain. Analizaremos en detalle el ataque, sus vectores técnicos, el impacto para usuarios y organizaciones, así como las principales recomendaciones para mitigar riesgos en este entorno.

### 2. Contexto del Incidente

Balancer es un protocolo DeFi que permite la creación de pools de liquidez automatizados, facilitando el intercambio descentralizado de tokens ERC-20 en la red Ethereum. La versión 2 (v2) introdujo mejoras en eficiencia y seguridad, sin embargo, como se ha demostrado, nuevas funcionalidades pueden abrir la puerta a vectores de ataque no anticipados.

En la madrugada del 30 de junio de 2024, Balancer Labs notificó a través de sus canales oficiales la explotación de una vulnerabilidad crítica en pools v2. Según datos preliminares aportados por la propia organización y firmas de análisis on-chain, los atacantes consiguieron drenar más de 128 millones de dólares en una serie de transacciones altamente orquestadas.

### 3. Detalles Técnicos

**Vulnerabilidad y CVE**
Aunque aún está pendiente la asignación oficial de un CVE, la investigación inicial revela que el ataque explotó una condición de carrera (race condition) en la lógica de los smart contracts encargados de la gestión de retiros y swaps en pools v2. El vector de ataque permitió manipular el cálculo de balances internos y ejecutar retiros fraudulentos de tokens.

**Vectores de Ataque**
El atacante utilizó una combinación de contratos inteligentes maliciosos y operaciones de flash loans, explotando la falta de protecciones adecuadas frente a reentradas (reentrancy attacks) y la insuficiente validación de estados intermedios en las transacciones. La secuencia básica identificada incluye:

– Despliegue de un contrato intermediario que interactúa con los pools v2 afectados.
– Solicitud de un flash loan desde otro protocolo DeFi (Aave, dYdX, etc.).
– Manipulación de los balances internos antes de la finalización de la transacción, aprovechando una ventana de ejecución sin control de reentradas.
– Retiro masivo de fondos y posterior conversión en otras criptomonedas o tokens a través de exchanges descentralizados.

**TTP MITRE ATT&CK**
– T1190: Exploit Public-Facing Application
– T1608.002: Stage Capabilities: Upload Malware
– T1566: Phishing (en contextos de ingeniería social previa para obtención de claves privadas o acceso a sistemas de despliegue de contratos)

**Indicadores de Compromiso (IoC)**
– Direcciones de smart contracts maliciosos implicados: identificados al menos 7 contratos diferentes en la red Ethereum.
– Hashes de transacción y wallets: se han enumerado más de 300 transacciones relacionadas, con movimientos hacia mixers como Tornado Cash.

**Herramientas y Frameworks**
No se ha detectado el uso directo de frameworks de explotación clásicos como Metasploit o Cobalt Strike, dado el carácter específico del ataque a smart contracts. Sin embargo, sí se observa el uso de scripts personalizados y herramientas de automatización de ataques DeFi como Tenderly o Brownie.

### 4. Impacto y Riesgos

El impacto financiero es grave: más de 128 millones de dólares en pérdidas directas, afectando a más de 8.000 usuarios y proveedores de liquidez según Dune Analytics. Adicionalmente, se estima una caída del 30% en el valor total bloqueado (TVL) en el protocolo Balancer tras el incidente.

Los riesgos se extienden a la posible devaluación de los tokens implicados, la pérdida de confianza en la plataforma y posibles efectos en cadena para los protocolos DeFi interconectados. El incidente podría acarrear además implicaciones legales bajo el marco del RGPD y la inminente directiva NIS2, dada la naturaleza transfronteriza y la gestión de activos de terceros.

### 5. Medidas de Mitigación y Recomendaciones

– **Suspensión inmediata** de los pools vulnerables y congelación de contratos afectados.
– **Auditoría exhaustiva** de todos los smart contracts por firmas independientes, priorizando controles de reentradas y validaciones de lógica de negocio.
– **Implementación de pausas de emergencia (circuit breakers)** en los contratos para detener operaciones sospechosas.
– **Refuerzo de las políticas de monitorización on-chain** y alertas de transacciones anómalas en tiempo real.
– **Revisión de los procesos de gestión de claves y acceso administrativo** a los contratos para evitar fugas internas o ataques de ingeniería social.

### 6. Opinión de Expertos

Analistas de ciberseguridad blockchain coinciden en que el sector DeFi sigue siendo un objetivo prioritario para atacantes avanzados. Según datos de Chainalysis, los ataques a DeFi representan ya el 72% de los incidentes de robo de criptomonedas en 2024. “La complejidad y composabilidad de los smart contracts, unida a la presión por innovar, genera una superficie de ataque difícil de proteger con los medios tradicionales”, apunta Miguel García, CISO de una firma especializada en seguridad DeFi.

### 7. Implicaciones para Empresas y Usuarios

Las empresas con exposición a protocolos DeFi deben reforzar sus políticas de due diligence, exigir auditorías periódicas y establecer límites de exposición a pools experimentales. Los usuarios particulares deben informarse sobre los riesgos, diversificar sus posiciones y utilizar protocolos con auditorías de seguridad públicas y verificables.

### 8. Conclusiones

El ataque a Balancer v2 evidencia que la seguridad en DeFi sigue siendo un reto crítico, donde la innovación tecnológica debe ir acompañada de rigurosas prácticas de ciberseguridad. Los CISOs, analistas SOC y responsables de plataformas DeFi deben priorizar la revisión constante de contratos inteligentes, la monitorización proactiva y la colaboración con equipos de respuesta ante incidentes. Solo mediante una aproximación integral y colaborativa será posible mitigar el riesgo de incidentes de alto impacto como el ocurrido.

(Fuente: www.bleepingcomputer.com)