Giovedì due membri della community del protocollo Balancer hanno presentato una proposta per delineare un piano di distribuzione di una parte dei fondi recuperati dall'exploit da 116 milioni di dollari subito dal protocollo a novembre.
Circa 28 milioni di dollari dei 116 milioni rubati sono stati recuperati da hacker white hat, team di soccorso interni e StakeWise, piattaforma di liquid staking di Ether (ETH).
Tuttavia, la proposta copre solo gli 8 milioni di dollari recuperati dagli hacker white hat e dai team di soccorso interni, mentre i quasi 20 milioni recuperati da StakeWise saranno distribuiti separatamente ai propri utenti.
Secondo la proposta, tutti i rimborsi dovrebbero essere non socializzati, ossia i fondi dovrebbero essere distribuiti solo ai liquidity pool specifici che hanno subito perdite e pagati in proporzione alla quota di ciascun detentore, rappresentata dai Balancer Pool Tokens (BPT).
I rimborsi dovrebbero inoltre essere pagati in-kind, in modo che le vittime ricevano un pagamento denominato nei token che hanno perso, per evitare discrepanze di prezzo tra i diversi asset digitali, sostengono gli autori.
L'attacco a Balancer è risultato uno degli attacchi “più sofisticati” del 2025, secondo Deddy Lavid, CEO della società di sicurezza informatica blockchain Cyvers, che ha sottolineato la necessità di garantire la sicurezza degli utenti crypto, a fronte della continua evoluzione delle minacce alla sicurezza.
Principali società di sicurezza blockchain verificano smart contract di Balancer, ma audit non lo salvano
In base alla pagina GitHub della piattaforma, il codice di Balancer è stato verificato 11 volte da quattro diverse società di sicurezza blockchain.
Nonostante l'audit, la piattaforma è stata comunque compromessa, inducendo alcuni utenti a mettere in discussione il valore degli audit e la loro effettiva capacità di garantire la sicurezza del codice.
Il 5 novembre Balancer ha pubblicato un rapporto successivo all'incidente in cui ha illustrato la causa principale dell'attacco: un sofisticato exploit che ha preso di mira una funzione di arrotondamento utilizzata negli swap EXACT_OUT all'interno dei suoi Stable Pool.
La funzione di arrotondamento è progettata per arrotondare per difetto quando vengono inseriti i prezzi dei token; tuttavia l'autore dell'attacco è riuscito a manipolare il calcolo in modo che i valori venissero arrotondati per eccesso.
L'autore dell'attacco ha combinato questa falla con uno swap in batch, ovvero una singola transazione contenente più azioni, per sottrarre fondi dai pool di Balancer.