本周一(11月3日),以太坊头部去中心化金融(DeFi)协议Balancer遭遇严重安全漏洞,初步估计损失已超过1.28亿美元,成为今年迄今为止最大规模的DeFi黑客事件之一。

根据链上数据,多组Balancer V2金库合约及流动性池在短时间内被迅速掏空,攻击者通过一系列精心设计的交易,将被盗代币转移至新创建的钱包地址。随后,这些资金被集中转移,疑似正通过混币器或跨链桥进行洗钱操作。

初步分析显示,攻击者利用了Balancer V2金库与流动性池的交互漏洞,通过部署恶意合约,在池初始化阶段操纵Vault的调用逻辑。在此过程中,授权验证与回调处理机制出现缺陷,使得攻击者能够绕过安全检查,实施未授权的资产交换与余额操控,从而快速抽干资金。

这起攻击的关键交易(哈希:0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569)已在以太坊主网上被追踪确认。多家链上分析机构(包括PeckShield与Nansen)已介入取证,目前确认这是一场智能合约漏洞攻击,并非私钥泄露事件。 

事件爆发数小时后,多家区块链分析机构发布最新数据称,黑客已将攻击范围扩大至多个与Balancer协议兼容或分叉的网络。目前累计损失已达约1.28亿美元,具体分布如下:

  • 以太坊主网:约9900万美元

  • Berachain:约1280万美元

  • Arbitrum:约680万美元

  • Base:约390万美元

  • Sonic:约340万美元

  • Optimism:约158万美元

  • Polygon:约23.2万美元

部分小型网络的损失比例极高。以Sonic为例,其总锁仓量(TVL)仅约1.5亿美元,此次被盗金额约占2%。更令人担忧的是,攻击似乎仍在持续进行中。

至截稿前,链上分析师余烬在社交平台X上发帖称,流动性质押项目StakeWise已通过一次合约调用成功从黑客手中追回5041枚osETH,价值约1930万美元,使得损失下降。然而,目前被盗资产中仍已有超过一半被转换为以太坊。

 

业内人士指出,Balancer的“可组合设计”虽然提升了协议的灵活性,但也让多个池之间的复杂交互成为潜在攻击面。本次事件与以往AMM(自动做市商)协议遭受攻击的模式类似,漏洞多出现在代币回调或重平衡机制的处理逻辑上。

Balancer官方回应有限,社区恐慌情绪上升

事件发生后,Balancer官方仅在X上发布了一条简短声明称:“我们已注意到Balancer v2流动性池可能遭遇攻击。工程与安全团队正以最高优先级调查事件,待确认信息后将第一时间发布更新。”

由于缺乏进一步说明,社区信心受到冲击,投资者与用户纷纷撤出流动性。分析师建议暂时停止与Balancer池交互,以防存在尚未修复的漏洞。

同时,Balancer平台代币BAL在24小时内暴跌超13%,市场信心明显受挫。

历史重演:Balancer五年多次遭黑

在去中心化金融领域,Balancer一直被视为“老牌”自动做市商(AMM),但在过去五年中,Balancer却已遭受了多起黑客攻击。以下是Balancer协议在过去五年内较为公开、重大安全事件:

  1. 2020年6月28‑29日:攻击者利用一个“手续费+燃烧”型代币池的漏洞,通过闪电贷和反复交易,把该池构造为“资产余额与实际减少不一致”,骗取约50万美元(包括ETH、WBTC、LINK、SNX等)。

  2. 2023年8月22日,Balancer团队发现V2版本“Boost池”存在严重漏洞,并提醒用户尽快撤出资金。然而,5天后攻击仍然发生。该漏洞源于V2 Boosted Pool的舍入误差,攻击者通过精确操作使BPT(Balancer Pool Token)供应量计算出现偏差,从而以不公平的汇率提取池内资产。整个攻击利用多笔闪电贷完成,不同安全机构对损失的估算在97.9万至210万美元之间。

  3. 2023年8月27日‑9月20日:在上述漏洞被公告后不久,攻击者实际利用该漏洞造成资金损失。估计损失约90‑100万美元。随后于9月20日,又发生一次前端域名/DNS攻击导致约23.8万美元流失。

漏洞频出,但热度不减:DeFi的高风险宠儿

Balancer的频繁遭黑反映出DeFi领域仍存在显著的智能合约风险。多起攻击从代币机制漏洞、前端域名被劫持,到V2核心合约的复杂逻辑缺陷,显示出DeFi项目在合约设计和安全审计上仍有盲点。特别是像V2 Boosted Pool的舍入误差或闪电贷利用,说明即便是顶级团队开发的协议,也难以完全规避复杂金融逻辑下的漏洞。

然而,尽管频繁发生安全事件,Balancer仍拥有大量忠实用户和社区粉丝。这一方面源于DeFi本身提供的高收益机会和去中心化金融的理念吸引力;另一方面,Balancer在每次攻击后通常会进行赔偿或启动白帽奖励,部分修复和补偿机制增强了用户信任感。对于许多投资者而言,高收益与高风险并存是可接受的交易代价。

至于信任问题,DeFi依然值得关注。频繁攻击并不意味着DeFi整体不可用,而是提醒整个行业需要更完善的安全机制、持续的审计和透明的风险披露,以平衡创新与安全。

OneSource创始人兼首席执行官Vladislav Ginzburg表示:“智能合约和金融工程是DeFi投资风险的一部分。因此,智能合约审计至关重要。我认为Balancer漏洞并不代表一种新的范式,因此不应改变信任或风险因素。现状维持不变。”

相关推荐: Stream Finance 发现亏损 9,300 万美元后暂停平台运作