La comunità di Balancer propone un piano per accelerare la distribuzione dei rimborsi

Due membri della comunità del protocollo Balancer hanno presentato una proposta per la distribuzione di una parte dei fondi recuperati dopo l’exploit da 116 milioni di dollari avvenuto a novembre. Circa 28 milioni di dollari di quel totale sono stati recuperati grazie all’intervento di white hat hackers, squadre di recupero interne e a StakeWise, una piattaforma di staking liquido su Ether. La proposta in esame riguarda però esclusivamente gli 8 milioni di dollari recuperati dai white hat hackers e dalle squadre interne, mentre i quasi 20 milioni recuperati da StakeWise saranno distribuiti separatamente ai rispettivi utenti.

Dettagli della proposta di rimborso

Gli autori della proposta suggeriscono che i rimborsi siano non socializzati: i fondi verrebbero distribuiti esclusivamente alle liquidity pool che hanno subito la perdita e solo ai partecipanti di quelle pool. La ripartizione sarebbe effettuata su base pro-rata, calcolata in funzione della quota detenuta da ciascun partecipante nella pool, rappresentata dai token di pool di Balancer, noti come Balancer Pool Tokens (BPT).

Inoltre, si propone che i rimborsi siano erogati in natura (in-kind), cioè nella stessa tipologia di token che le vittime hanno perso, per ridurre il rischio di squilibri di prezzo derivanti dalla conversione tra asset diversi.

La distinzione tra i fondi recuperati è centrale: gli 8 milioni coperti dalla proposta provengono dall’azione combinata di white hat hackers e squadre di recupero interne, mentre i quasi 20 milioni recuperati da StakeWise saranno oggetto di un piano di distribuzione separato, gestito dalla stessa StakeWise a favore dei suoi utenti.

Meccanismo dell’attacco

L’attacco ha sfruttato una vulnerabilità in una funzione di arrotondamento impiegata nelle operazioni EXACT_OUT swaps all’interno delle Stable Pools di Balancer. La funzione era progettata per arrotondare verso il basso durante l’immissione dei prezzi dei token, ma l’attaccante è riuscito a manipolare il calcolo in modo che i valori venissero arrotondati verso l’alto.

Questa anomalia è stata poi combinata con uno batched swap, ovvero una singola transazione che contiene una sequenza di azioni, consentendo all’attaccante di sfruttare le discrepanze create dall’arrotondamento e drenare fondi da diverse pool in un’unica operazione.

Audit e reazioni sulla sicurezza

Il codice di Balancer era stato sottoposto a verifiche formali e audit da parte di più società specializzate: secondo la pagina pubblica del progetto su GitHub, le verifiche erano state eseguite 11 volte da quattro diversi team di sicurezza. Nonostante ciò, la vulnerabilità è stata sfruttata con successo, sollevando interrogativi sull’efficacia degli audit tradizionali nella prevenzione di attacchi particolarmente sofisticati.

Deddy Lavid, amministratore delegato di Cyvers, ha commentato la natura dell’attacco:

“È stato uno degli attacchi più sofisticati del 2025, che evidenzia come le minacce alla sicurezza si stiano evolvendo e quanto sia essenziale rafforzare la protezione degli utenti crypto.”

Implicazioni e prossimi passi per la governance

La proposta dovrà seguire il normale iter di governance della comunità di Balancer, con votazioni che coinvolgeranno detentori di token e stakeholder. L’adozione di rimborsi non socializzati implicherebbe che solo i fornitori di liquidità danneggiati ricevano compensazione, evitando di scaricare l’onere su pool e utenti non coinvolti.

Dal punto di vista operativo, la distribuzione in natura richiede procedure chiare per verificare le perdite, confermare i detentori eleggibili e calcolare correttamente le quote pro-rata basate sui BPT. Trasparenza, audit indipendenti delle procedure di rimborso e la conservazione di prove sulle transazioni saranno elementi fondamentali per mantenere la fiducia della comunità.

A livello più ampio, l’evento rilancia il dibattito sulle pratiche di sicurezza nel settore: oltre agli audit, possono rivelarsi utili misure quali la verifica formale del codice, programmi bug bounty più strutturati, limiti operativi temporanei su pool sensibili e una migliore orchestrazione con piattaforme come StakeWise per gestire recuperi e rimborsi coordinati.

Nei prossimi giorni la comunità di Balancer dovrebbe definire tempi e modalità della votazione sulla proposta, mentre gli utenti interessati potranno attendersi comunicazioni ufficiali sulle modalità concrete di verifica e distribuzione dei rimborsi.