Dois membros da comunidade do protocolo Balancer apresentaram na quinta-feira uma proposta que descreve um plano de distribuição para parte dos fundos recuperados do ataque de US$ 116 milhões sofrido pela plataforma em novembro.
Cerca de US$ 28 milhões do roubo de US$ 116 milhões foram recuperados por hackers de chapéu branco, equipes internas de resgate e pela StakeWise, uma plataforma de staking líquido de Ether (ETH).
No entanto, a proposta cobre apenas os US$ 8 milhões recuperados pelos hackers éticos e pelas equipes internas, enquanto os quase US$ 20 milhões recuperados pela StakeWise serão distribuídos separadamente aos seus usuários.
Os autores propuseram que todos os reembolsos fossem não socializados, ou seja, que os fundos sejam distribuídos apenas aos pools de liquidez específicos que sofreram perdas, pagos de forma pró-rata, de acordo com a participação de cada detentor no pool, representada pelos Balancer Pool Tokens (BPT).
Os reembolsos também devem ser pagos na mesma moeda perdida, de modo que as vítimas recebam tokens denominados nos ativos originais afetados, evitando diferenças de preço entre diferentes criptomoedas, segundo os autores.
O hack da Balancer foi considerado um dos “ataques mais sofisticados” de 2025, de acordo com Deddy Lavid, CEO da empresa de cibersegurança Cyvers, destacando a necessidade de fortalecer a segurança dos usuários à medida que as ameaças evoluem.
Principais empresas de segurança em blockchain auditaram os contratos da Balancer, mas as auditorias não foram suficientes
De acordo com a página da Balancer no GitHub, o código da plataforma foi auditado 11 vezes por quatro empresas diferentes de segurança blockchain.
Apesar dessas auditorias, a plataforma ainda foi hackeada, levando alguns usuários a questionar o valor real das auditorias e se elas de fato garantem a segurança do código.
A Balancer publicou um relatório pós-morte em 5 de novembro, detalhando a causa raiz do ataque: um exploit sofisticado que explorou uma função de arredondamento usada em swaps EXACT_OUT dentro de seus Stable Pools.
Essa função de arredondamento foi projetada para arredondar valores para baixo quando os preços dos tokens eram inseridos, mas o atacante conseguiu manipular o cálculo para que os valores fossem arredondados para cima.
O invasor combinou essa falha com um batched swap — uma única transação contendo múltiplas ações — para drenar os fundos dos pools da Balancer.