本週一(11月3日),以太坊頭部去中心化金融(DeFi)協議Balancer遭遇嚴重安全漏洞,初步估計損失已超過1.28億美元,成為今年迄今為止最大規模的DeFi駭客事件之一。

根據鏈上數據,多組Balancer V2金庫合約及流動性池在短時間內被迅速掏空,攻擊者通過一系列精心設計的交易,將被盜代幣轉移至新創建的錢包地址。隨後,這些資金被集中轉移,疑似正通過混幣器或跨鏈橋進行洗錢操作。

初步分析顯示,攻擊者利用了Balancer V2金庫與流動性池的交互漏洞,通過部署惡意合約,在池初始化階段操縱Vault的調用邏輯。在此過程中,授權驗證與回調處理機制出現缺陷,使得攻擊者能夠繞過安全檢查,實施未授權的資產交換與餘額操控,從而快速抽乾資金。

這起攻擊的關鍵交易(哈希:0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569)已在以太坊主網上被追蹤確認。多家鏈上分析機構(包括PeckShield與Nansen)已介入取證,目前確認這是一場智能合約漏洞攻擊,並非私鑰洩露事件。

事件爆發數小時後,多家區塊鏈分析機構發布最新數據稱,駭客已將攻擊範圍擴大至多個與Balancer協議相容或分叉的網絡。目前累計損失已達約1.28億美元,具體分佈如下:

  • 以太坊主網:約9900萬美元

  • Berachain:約1280萬美元

  • Arbitrum:約680萬美元

  • Base:約390萬美元

  • Sonic:約340萬美元

  • Optimism:約158萬美元

  • Polygon:約23.2萬美元

部分小型網絡的損失比例極高。以Sonic為例,其總鎖倉量(TVL)僅約1.5億美元,此次被盜金額約占2%。更令人擔憂的是,攻擊似乎仍在持續進行中。

至截稿前,鏈上分析師餘燼在社交平台X上發帖稱,流動性質押項目StakeWise已通過一次合約調用成功從駭客手中追回5041枚osETH,價值約1930萬美元,使得損失下降。然而,目前被盜資產中仍已有超過一半被轉換為以太坊。

 

業內人士指出,Balancer的“可組合設計”雖然提升了協議的靈活性,但也讓多個池之間的複雜交互成為潛在攻擊面。本次事件與以往AMM(自動做市商)協議遭受攻擊的模式類似,漏洞多出現在代幣回調或重平衡機制的處理邏輯上。

Balancer官方回應有限,社區恐慌情緒上升

事件發生後,Balancer官方僅在X上發布了一條簡短聲明稱:“我們已注意到Balancer v2流動性池可能遭遇攻擊。工程與安全團隊正以最高優先級調查事件,待確認信息後將第一時間發布更新。”

由於缺乏進一步說明,社區信心受到衝擊,投資者與用戶紛紛撤出流動性。分析師建議暫時停止與Balancer池交互,以防存在尚未修復的漏洞。

同時,Balancer平台代幣BAL在24小時內暴跌超13%,市場信心明顯受挫。

歷史重演:Balancer五年多次遭黑

在去中心化金融領域,Balancer一直被視為“老牌”自動做市商(AMM),但在過去五年中,Balancer卻已遭受了多起駭客攻擊。以下是Balancer協議在過去五年內較為公開、重大安全事件:

  1. 2020年6月28‑29日:攻擊者利用一個“手續費+燃燒”型代幣池的漏洞,通過閃電貸和反覆交易,把該池構造為“資產餘額與實際減少不一致”,騙取約50萬美元(包括ETH、WBTC、LINK、SNX等)。

  2. 2023年8月22日,Balancer團隊發現V2版本“Boost池”存在嚴重漏洞,並提醒用戶儘快撤出資金。然而,5天後攻擊仍然發生。該漏洞源於V2 Boosted Pool的捨入誤差,攻擊者通過精確操作使BPT(Balancer Pool Token)供應量計算出現偏差,從而以不公平的匯率提取池內資產。整個攻擊利用多筆閃電貸完成,不同安全機構對損失的估算在97.9萬至210萬美元之間。

  3. 2023年8月27日‑9月20日:在上述漏洞被公告後不久,攻擊者實際利用該漏洞造成資金損失。估計損失約90‑100萬美元。隨後於9月20日,又發生一次前端域名/DNS攻擊導致約23.8萬美元流失。

漏洞頻出,但熱度不減:DeFi的高風險寵兒

Balancer的頻繁遭黑反映出DeFi領域仍存在顯著的智能合約風險。多起攻擊從代幣機制漏洞、前端域名被劫持,到V2核心合約的複雜邏輯缺陷,顯示出DeFi項目在合約設計和安全審計上仍有盲點。特別是像V2 Boosted Pool的捨入誤差或閃電貸利用,說明即便是頂級團隊開發的協議,也難以完全規避複雜金融邏輯下的漏洞。

然而,儘管頻繁發生安全事件,Balancer仍擁有大量忠實用戶和社區粉絲。這一方面源於DeFi本身提供的高收益機會和去中心化金融的理念吸引力;另一方面,Balancer在每次攻擊後通常會進行賠償或啟動白帽獎勵,部分修復和補償機制增強了用戶信任感。對於許多投資者而言,高收益與高風險並存是可接受的交易代價。

至於信任問題,DeFi依然值得關注。頻繁攻擊並不意味著DeFi整體不可用,而是提醒整個行業需要更完善的安全機制、持續的審計和透明的風險披露,以平衡創新與安全。

OneSource創始人兼首席執行官Vladislav Ginzburg表示:“智能合約和金融工程是DeFi投資風險的一部分。因此,智能合約審計至關重要。我認為Balancer漏洞並不代表一種新的範式,因此不應改變信任或風險因素。現狀維持不變。”

相關推薦: Stream Finance 發現虧損 9300萬美元後暫停平台運作