Vulnerabilidad en Balancer, desconexión de XUSD genera pánico ¡2.31 mil millones de dólares en fondos desaparecen en DeFi!

Se han producido vulnerabilidades en Balancer V2 esta semana, con atacantes que robaron 128 millones de dólares en varias cadenas. Al mismo tiempo, Stream Finance congeló depósitos y retiros tras la divulgación de pérdidas de 93 millones de dólares por parte de un gestor externo, lo que provocó que su stablecoin respaldada XUSD se despegara del dólar, alcanzando mínimos de 30 centavos en el mercado. En total, estos dos eventos sumaron unas pérdidas aproximadas de 231 millones de dólares, de las cuales solo se recuperaron 19 millones.

StakeWise recupera 19 millones de dólares en un milagro DAO

(Origen: X)

La estrategia de StakeWise ofrece la prueba más contundente de que la arquitectura de emergencia en DeFi puede soportar una gran presión. La firma DAO activó firmas múltiples que permitieron llamar a contratos y devolver al protocolo 5,041 osETH y 13,495 osGNO. El equipo prometió distribuir proporcionalmente las pérdidas según los saldos previos al ataque, transformando una pérdida catastrófica en una parcial. Esto no es solo teoría: los fondos ya se transfirieron en la cadena, la DAO hizo pública el estrategia, y varios medios confirmaron los datos relacionados.

La rapidez y los resultados son igualmente importantes. La recuperación en finanzas tradicionales puede tardar meses en litigios, y a menudo solo se recupera una pequeña parte. En cambio, StakeWise utilizó herramientas propias del protocolo y en pocos días logró la recuperación. Esta diferencia en eficiencia resalta las ventajas de DeFi: cuando los mecanismos de emergencia están bien diseñados, la respuesta puede superar ampliamente a los sistemas tradicionales.

StakeWise logró recuperar aproximadamente el 15% del total de pérdidas de Balancer, gracias a mecanismos construidos a lo largo de los años en DeFi: firmas múltiples de emergencia, mecanismos de recuperación en contratos y estructuras de gobernanza DAO capaces de transferir fondos en horas. Estos tres mecanismos hicieron posible la recuperación.

Tres mecanismos clave que permitieron a StakeWise recuperar fondos

Firmas múltiples de emergencia: con permisos limitados y predefinidos, evitan abusos de poder y aseguran respuestas rápidas.

Funcionalidad de recuperación en contratos: permiten a la gobernanza revocar transacciones específicas mediante funciones reservadas en los contratos inteligentes.

Estructura DAO rápida: capaz de votar y ejecutar en un solo ciclo de bloque, sin procesos de gobernanza largos.

Berachain añadió una cuarta opción, basada en el consenso de validadores para intervenir en la cadena. Operando pools de fondos estilo Balancer en su DEX nativo, los validadores coordinaron una parada de red, implementaron un hard fork de emergencia para aislar los contratos vulnerables y, tras controlar la vulnerabilidad, restauraron la operación. Esta acción incluyó pausas y retrocesos, y solo funciona en blockchains jóvenes, altamente centralizadas, donde los validadores pueden coordinar sin bloquear la gobernanza.

XUSD colapsa, exponiendo las fallas estructurales de CeDeFi

Justo cuando ocurrió la vulnerabilidad en Balancer, Stream Finance congeló depósitos y retiros tras la divulgación de pérdidas de 93 millones de dólares por parte de un gestor externo, provocando que su stablecoin XUSD se despegara del dólar, cayendo a 30-50 centavos. Este colapso, muy distinto a la vulnerabilidad en contratos inteligentes, revela una falla estructural en CeDeFi (finanzas híbridas centralizadas y descentralizadas).

El desplome de Stream se remonta a una apuesta estructural en CeDeFi híbrido, basada en gestores externos que realizan yield farming sin un panel de riesgos en tiempo real ni monitoreo transparente de colaterales. Los 93 millones de dólares desaparecieron fuera de la cadena, más allá del alcance de contratos inteligentes o coordinación de validadores. La efectividad o falla de las medidas adoptadas es crucial, pues determina las herramientas disponibles para responder ante futuras vulnerabilidades de cientos de millones.

Este mecanismo difiere de las vulnerabilidades en contratos inteligentes, ya que no hubo un atacante que vaciara un pool, ni validadores que coordinaran para revertir pérdidas, ni DAO que votara para recuperar fondos gestionados por terceros fuera de la cadena. Es la forma más primitiva de compromiso en CeDeFi. La promesa de los protocolos de ofrecer composabilidad y transparencia en cadena se ve comprometida cuando los beneficios dependen de gestores tradicionales, con riesgos operativos muy diferentes.

Cuando gestores externos cometen fraudes, errores o sufren pérdidas de mercado, los stablecoins respaldados por estos fondos pierden su anclaje, y los protocolos no tienen medidas de emergencia. Los usuarios se enteran demasiado tarde: las stablecoins «descentralizadas» dependen de confiar en entidades que nunca han visto, operando en jurisdicciones inaccesibles, sin haber revisado sus términos.

Stream contrató a Perkins Coie para investigar, pero el daño ya se extendió. La stablecoin XUSD perdió su anclaje, con precios en el mercado que cayeron entre un 50% y un 70% del valor nominal. La caída fue tan severa que solo superó en magnitud a la quiebra de UST. Desde un valor teórico de 1.26 dólares, cayó a 0.3-0.6 dólares, provocando pérdidas superiores al 70% para los poseedores.

Pérdidas de 231 millones y una recuperación del 15%: la dura realidad

Las cifras muestran las limitaciones de los mecanismos de emergencia. StakeWise recuperó 19.3 millones de dólares de las pérdidas en Balancer, aproximadamente un 15%. Hasta el momento, la recompensa en Balancer aún no ha sido reclamadas. Berachain protegió su ecosistema mediante retrocesos, pero no puede revertir transacciones en Ethereum u otras cadenas afectadas. Sumando las pérdidas de Stream de 93 millones, los eventos totalizan unas pérdidas de aproximadamente 231 millones de dólares, de los cuales solo se recuperaron unos 19 millones, es decir, un 8.2%.

Aunque las herramientas funcionaron, los usuarios perdieron más de 200 millones. La realidad es que, aunque el arsenal de herramientas no está vacío, no es suficiente para detener a atacantes más conocedores, decididos y con mayor experiencia técnica que los auditores. Este número revela una dura verdad: por más que las defensas en DeFi mejoren, la capacidad de los atacantes también evoluciona, y la velocidad de innovación en defensa aún no supera la expansión de las superficies de ataque.

La existencia de firmas múltiples de emergencia y mecanismos de recuperación aumenta la compensación mínima para las víctimas, pues ya no se asume que no se pueda recuperar nada. Sin embargo, esto también genera riesgos morales: los protocolos pueden descuidar auditorías de seguridad, confiando en que la gobernanza pueda remediar pérdidas después del ataque. Los reguladores notarán esto: si las DAO pueden revertir transacciones y congelar fondos, en realidad controlan la red como un fiduciario.

Esto puede generar presión política para exigir reservas, paneles de riesgo, divulgación obligatoria y una regulación más estricta para todo lo que se etiquete como «descentralizado». Para los inversores, la prima por diligencia debida ya ha aumentado. Los productos basados en gestores externos opacos o en estructuras híbridas CeDeFi enfrentan nuevos riesgos: pérdidas catastróficas e irreversibles que pueden destruir el anclaje de las stablecoins.

El contexto macroeconómico agrava los riesgos. Según Chainalysis, para mediados de 2025, las pérdidas por robos en criptomonedas superarán los 2,17 mil millones de dólares, ya superando el total de 2024. Si la tendencia continúa, las pérdidas podrían llegar a 4 mil millones. DeFi no es el único objetivo, pero sigue siendo el campo más líquido y también más vulnerable.

Dos visiones de la defensa en DeFi y la prueba final

Las acciones de Balancer, StakeWise y Stream no son eventos aislados, sino una prueba de dos visiones opuestas para el futuro de DeFi. Una cree que la gobernanza de emergencia, el control en contratos y la coordinación de validadores pueden construir defensas confiables, reduciendo las ventanas de oportunidad y limitando pérdidas. La recuperación del 15% de StakeWise y los forks rápidos en Berachain demuestran la viabilidad de esta visión.

La otra acepta estructuras híbridas, donde la transparencia en cadena se intercambia por beneficios en cadena exterior, asumiendo riesgos de contraparte para obtener retornos competitivos. La caída de Stream es un ejemplo de fracaso en esta visión. El protocolo delegó 93 millones a gestores externos, sin monitoreo en tiempo real ni divulgación transparente, y cuando estos perdieron dinero, el protocolo no pudo responder.

Ambas visiones coexisten actualmente, y los usuarios distribuyen sus fondos entre ellas. La clave no es si ocurrirá un ataque, sino si DeFi podrá protegerse lo suficiente para seguir siendo una opción confiable fuera del sistema financiero tradicional. La recuperación de StakeWise demuestra que existen herramientas, pero la caída de Stream revela que esas herramientas no cubren todos los escenarios.

Paneles de riesgo en tiempo real, monitoreo transparente de colaterales y reservas en cadena dejan de ser opcionales y pasan a ser requisitos básicos. Los protocolos que no puedan o no quieran divulgar estos indicadores sufrirán pérdidas en su valoración, y eso es solo lógico.