Reentrada en pools boosted de Balancer

El 27 de agosto de 2023, los pools boosted de Balancer fueron explotados por aproximadamente 2,1 millones de dólares — cinco días después de que Balancer hubiera divulgado públicamente la vulnerabilidad e instado a los usuarios a retirar fondos. Este fue un incidente separado y anterior al mucho mayor exploit de Balancer v2 en noviembre de 2025.

Qué ocurrió

El 22 de agosto de 2023, Balancer divulgó públicamente una vulnerabilidad crítica que afectaba a varios pools boosted — una reentrada de solo lectura en la lógica de precios del proveedor de tasa de los pools. Balancer mitigó el 95%+ del TVL en riesgo pausando los pools afectados e instó a los LPs en los pools restantes en riesgo a retirar inmediatamente.

No toda la liquidez salió a tiempo. El 27 de agosto, un atacante explotó los pools aún en riesgo de los que los LPs no habían retirado:

1. Usó la reentrada de solo lectura en el cálculo de tasa del pool boosted — el mismo patrón estructural que dForce y EraLend más temprano ese año.
2. Manipuló el precio reportado del BPT (Balancer Pool Token) del pool durante una ventana intermedia de mutación.
3. Extrajo valor de los pools mal valorados — aproximadamente $2,1M en los pools vulnerables restantes.

Consecuencias

• La divulgación-y-pausa proactiva de Balancer ya había protegido la gran mayoría de los fondos — la pérdida realizada fue una pequeña fracción del TVL total en riesgo.
• Los LPs afectados restantes absorbieron las pérdidas; el protocolo coordinó mitigación parcial.
• El incidente se cita frecuentemente como un caso de "divulgación bien hecha, pero los usuarios no actuaron a tiempo".

Por qué importa

El incidente de Balancer de agosto de 2023 es un caso inusual e instructivo porque el protocolo hizo casi todo bien y aun así sufrió una pérdida:

1. La vulnerabilidad se encontró y se divulgó proactivamente (no se descubrió vía exploit).
2. El 95%+ del TVL en riesgo fue protegido pausando pools y advirtiendo a los usuarios.
3. La pérdida realizada fue una pequeña fracción de lo que habría costado un exploit no divulgado.

Y aun así se perdieron $2,1M — porque no todo LP retiró de los pools en riesgo restantes a tiempo. Esto ilustra una dura verdad sobre la respuesta a incidentes en DeFi: incluso una divulgación ejecutada a la perfección no puede proteger plenamente a los usuarios que no actúan sobre ella. El protocolo puede pausar lo que controla, pero no puede forzar a los LPs fuera de los pools, y una fracción significativa de usuarios no verá la advertencia, no la entenderá, o no actuará en la ventana disponible.

La causa raíz técnica — reentrada de solo lectura en un proveedor de tasa de DEX/pool — es la misma clase de bug que se repitió en dForce (feb 2023), EraLend (jul 2023), Conic Finance (jul 2023) y Balancer (ago 2023) todos en el mismo año. El patrón se entendía bien a mediados de 2023; la recurrencia refleja cuántos protocolos habían integrado lecturas de tasa de pools escritas antes de que la lección de la reentrada de solo lectura se interiorizara ampliamente. El resultado relativamente bueno de Balancer aquí — frente a su catastrófico incidente de noviembre de 2025 — muestra que incluso un equipo maduro en seguridad operando uno de los protocolos más auditados de DeFi sigue expuesto cuando la superficie de vulnerabilidad es grande y las integraciones dependientes son numerosas.