Las transacciones on-chain del explotador detrás del hackeo de Balancer, valorado en 116 millones de dólares, apuntan a un actor sofisticado y a una preparación exhaustiva que puede haber llevado meses orquestar sin dejar rastro, según un nuevo análisis on-chain.
El exchange descentralizado (DEX) y creador de mercado automatizado (AMM) Balancer sufrió un exploit el lunes por un valor de 116 millones de dólares en activos digitales.
Los datos blockchain muestran que el atacante financió cuidadosamente su cuenta utilizando pequeños depósitos de 0,1 Ether (ETH) del mezclador de criptomonedas Tornado Cash para evitar ser detectado. Conor Grogan, director de Coinbase, dijo que el explotador tenía al menos 100 ETH almacenados en contratos inteligentes de Tornado Cash, lo que indica posibles vínculos con hackeos anteriores.
“El hacker parece tener experiencia: 1. Cuenta inicializada con 100 ETH y 0,1 depósitos de Tornado Cash. Sin fugas de seguridad operativa”, dijo Grogan en una publicación del lunes en X. “Dado que no hubo depósitos recientes de 100 ETH en Tornado, es probable que el explotador tuviera fondos allí procedentes de exploits anteriores”.
Grogan señaló que los usuarios rara vez almacenan sumas tan grandes en mezcladores de privacidad, lo que sugiere aún más la profesionalidad del atacante.
Balancer ofreció al atacante una recompensa del 20 % si devolvía el miércoles la totalidad de los fondos robados, menos la recompensa.
“Nuestro equipo está trabajando con los principales investigadores de seguridad para comprender el problema y compartirá los resultados adicionales y un análisis completo lo antes posible”, escribió Balancer en su última actualización del lunes.
Cyvers: El exploit de Balancer fue el ataque más sofisticado de 2025
El exploit de Balancer es uno de los “ataques más sofisticados que hemos visto este año”, según Deddy Lavid, cofundador y CEO de la empresa de seguridad blockchain Cyvers:
“Los atacantes eludieron las capas de control de acceso para manipular directamente los saldos de los activos, un fallo crítico en la gobernanza operativa más que en la lógica del protocolo central.”
Lavid afirmó que el ataque demuestra que las auditorías de código estático ya no son suficientes. En su lugar, abogó por una supervisión continua y en tiempo real para detectar flujos sospechosos antes de que se agoten los fondos.
Lazarus Group detuvo sus actividades ilícitas durante meses antes del hackeo de Bybit valorado en 1.400 millones de dólares
El infame Lazarus Group de Corea del Norte también es conocido por sus exhaustivos preparativos antes de sus mayores hackeos.
Según la empresa de análisis blockchain Chainalysis, las actividades ilícitas relacionadas con los ciberdelincuentes norcoreanos disminuyeron drásticamente después del 1 de julio de 2024, a pesar del aumento de los ataques a principios de ese año.
La significativa ralentización antes del hackeo a Bybit indicaba que el grupo de hackers respaldado por el Estado se estaba “reagrupando para seleccionar nuevos objetivos”, según Eric Jardine, director de investigación de ciberdelitos de Chainalysis.
“La desaceleración que observamos podría haber sido una reorganización para seleccionar nuevos objetivos, sondear la infraestructura, o podría haber estado relacionada con esos acontecimientos geopolíticos”, declaró a Cointelegraph.
El Lazarus Group tardó 10 días en lavar el 100 % de los fondos robados a Bybit a través del protocolo descentralizado cross-chain THORChain, según informó Cointelegraph el 4 de marzo.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
