Bóveda multi-estrategia de Belt Finance

El 29 de mayo de 2021, el agregador de rendimiento de BSC Belt Finance perdió combinados ~50 millones de dólares de su bóveda multi-estrategia beltBUSD — el atacante se fue con 6,23 millones de dólares en beneficio personal, con los ~$43,8M restantes en comisiones y slippage destruidos en la manipulación. El exploit fue una manipulación de precio de share de bóveda de libro de texto financiada por 385 millones de dólares en préstamos flash de PancakeSwap.

Qué ocurrió

La bóveda beltBUSD de Belt Finance era un agregador multi-estrategia: los depósitos de usuarios se dividían entre varias estrategias de rendimiento subyacentes (Venus, Ellipsis, etc.). Para valorar las shares de la bóveda — y por tanto el valor de canje de la posición de cada usuario — el contrato de Belt calculaba los activos totales en todas las estrategias y los dividía entre el suministro de shares de la bóveda.

La suposición fatal: que todas las estrategias estarían equilibradas. La matemática del precio de share de Belt leía solo una estrategia (Ellipsis) y extrapolaba que el valor de todas las demás estrategias podía derivarse de la lectura de Ellipsis. En condiciones normales de mercado esto era aproximadamente cierto; bajo manipulación adversarial era catastrófico.

El ataque:

1. Pidió prestados por flash 385 millones de BUSD de PancakeSwap.
2. Pumpeó el pool de stablecoins de Ellipsis con volumen masivo de BUSD, distorsionando los precios internos del pool de formas que empujaban el valor reportado de la estrategia hacia arriba.
3. El cálculo del precio de share, leyendo el número inflado de Ellipsis y extrapolando a todas las estrategias, computó un valor por share más alto del que las reservas reales de la bóveda soportaban.
4. Depositó una pequeña cantidad de BUSD en la bóveda, luego retiró al precio de share inflado — recibiendo más BUSD del que puso.
5. Repitió el ciclo 8 veces, extrayendo cada vez una porción de las reservas de la bóveda.
6. Devolvió el préstamo flash, se fue con $6,23M de beneficio.

La pérdida restante de ~$43,8M no fue extraída por el atacante — fue destruida mediante slippage e impacto de comisiones cuando la oscilación del precio de share de la bóveda produjo malas ejecuciones para usuarios legítimos que aún mantenían posiciones.

Consecuencias

• Belt Finance pausó las bóvedas afectadas y anunció un plan de compensación.
• Los usuarios afectados vieron sus posiciones beltBUSD reducidas en un 21,36% y las posiciones del pool 4Belt en un 5,51%.
• El equipo comprometió $3 millones a un fondo de compensación de usuarios.
• La vulnerabilidad se parcheó reemplazando el cálculo del precio de share "una estrategia como proxy de todas" por lecturas agregadas explícitas.

Por qué importa

Belt Finance ilustra un patrón DeFi recurrente: los cálculos de precio de share que extrapolan de una muestra al todo son vulnerables a la manipulación del componente muestreado. El mismo problema estructural ha aparecido en:

• Belt Finance (mayo de 2021) — extrapoló el valor de la estrategia Ellipsis a toda la bóveda.
• Harvest Finance (octubre de 2020) — usó los precios actuales del YPool de Curve como proxy.
• Cream Finance (octubre de 2021) — leyó el precio de yUSD directamente desde la bóveda de Yearn.
• Lodestar Finance (diciembre de 2022) — asumió el ratio share/activo de GlpDepositor.

La respuesta defensiva es conceptualmente simple pero operativamente exigente: los cálculos de precio de share deben leer cada posición subyacente independientemente, no extrapolar. Esto cuesta gas y complejidad; los protocolos que se saltan el coste lo han pagado más tarde en pérdidas reales.

El ratio "$50M de pérdida total por $6,23M de beneficio del atacante" también es instructivo. Muchos exploits DeFi destruyen más valor económico del que el atacante extrae — a través de impacto de comisiones, slippage, cascadas de depeg y corridas bancarias impulsadas por pérdida de confianza. La cifra principal de robo subestima el coste real.