Balancer協議社區的兩名成員週四提交了一份提案,概述了從該協議11月1.16億美元攻擊中追回的部分資金的分配計劃。
在這次1.16億美元的盜竊中,約2800萬美元被白帽駭客、內部救援人員和以太幣流動性質押平台StakeWise追回。
然而,該提案僅涵蓋白帽駭客和內部救援團隊追回的800萬美元,而StakeWise追回的近2000萬美元將單獨分配給其用戶。
提案作者建議所有賠償應採用非社會化方式,這意味著資金僅分配給損失資金的特定流動性池,並根據每個持有者在流動性池中的份額(由Balancer池代幣BPT表示)按比例支付。
根據提案作者的說法,賠償還應以實物支付,駭客攻擊的受害者將以他們損失的代幣計價收到付款,以避免不同數字資產之間的價格不匹配。
根據區塊鏈網絡安全公司Cyvers首席執行官Deddy Lavid的說法,Balancer駭客攻擊是2025年"最複雜"的攻擊之一,凸顯了隨著安全威脅不斷演變,加密貨幣用戶安全的必要性。
頂級區塊鏈安全公司審計了Balancer的智能合約,但審計未能挽救它
根據該平台的GitHub頁面,Balancer的代碼已由4家不同的區塊鏈安全公司審計了11次。
儘管進行了審計,該平台仍然被駭客攻擊,促使一些加密貨幣用戶質疑審計的價值以及它們是否真正確保代碼安全。
Balancer在11月5日發布了一份事後分析報告,概述了駭客攻擊的根本原因:一種針對其穩定池中EXACT_OUT交換所使用的捨入函數的複雜攻擊。
捨入函數設計為在輸入代幣價格時向下捨入,但攻擊者設法操縱計算,使值改為向上捨入。
攻擊者將這一缺陷與批量交換(包含多個操作的單筆交易)相結合,從Balancer的池中抽走資金。