Balancer 遭 1.16 億美元黑客攻擊，DeFi 安全神話再臨破滅點？

“每次上線時間如此之久的合約被攻擊時，都会讓 DeFi 的採用進程倒退 6 到 12 個月。” Flashbots 策略總監、Lido 策略顧問 Hasu 在 Balancer 被黑後發表如此看法。

11 月 3 日，老牌 DeFi 協議 Balancer 遭遇前所未有的黑客攻擊，損失高達 1.166 億美元。

這筆巨額資產在短時間內透過一個存在於 Balancer V2 池智能合約中的跨鏈回調漏洞被迅速盜取。截至 11 月 4 日，黑客正透過 Cow Protocol 將盜取的資產兌換為 ETH。

01 事件回顧：巨額資金瞬間蒸發

Balancer 攻擊事件在 11 月 3 日引爆加密世界，起初被盜金額約為 7000 萬美元，隨後不斷攀升。

截至撰稿時，損失已高達 1.166 億美元，成為 Balancer 歷史上最嚴重的安全事件。

鏈上資訊顯示，攻擊者盜取的主要資產包括 WETH、wstETH、osETH、frxETH、rsETH、rETH 等流動性質押代幣。

這些資產分布在 ETH、Base、Sonic 等多條鏈上，其中以太坊鏈上損失最為慘重，接近 1 億美元。

02 漏洞分析：低級錯誤引發的災難

安全研究人員迅速定位了漏洞根源。根據安全監控機構 Defimon Alerts 和 Decurity 的分析，問題出在 Balancer V2 協議的 manageUserBalance 函數的存取控制檢查中。

系統在驗證 Balancer V2 的提款權限時，本應檢查呼叫者是否是帳戶的真正所有者，但程式碼卻錯誤地檢查了 msg.sender（實際呼叫者）是否等於用戶自己提供的 op.sender 參數。

由於 op.sender 是用戶可控的輸入參數，攻擊者可以隨意偽造身分，繞過權限驗證。

這種基礎的存取控制錯誤在一個運行 5 年的成熟協議中出現，讓安全專家感到難以置信。

03 歷史追溯：Balancer 的六年六次安全事故

如果你對“Balancer 被黑”這個標題感到熟悉，一點也不奇怪。這竟是 Balancer 5 年來的第 6 次安全事故。

回望歷史，Balancer 的安全紀錄一直不容樂觀：

• 2020 年 6 月：通縮代幣漏洞，損失約 52 萬美元
• 2023 年 3 月：因 Euler 事件間接受損，損失約 1190 萬美元
• 2023 年 8 月：V2 池精度漏洞，損失約 210 萬美元
• 2023 年 9 月：DNS 劫持攻擊，損失約 24 萬美元
• 2024 年 6 月：分叉專案 Velocore 被黑，損失約 680 萬美元

一次次安全事故勾勒出 Balancer 乃至整個 DeFi 生態脆弱的安全防線。

04 市場影響：信心崩塌與價格暴跌

市場對此次攻擊的反應迅速而激烈。根據 CoinMarketCap 資料，BAL（Balancer）代幣在 11 月 3 日下跌 7.13%，報 0.92 美元。

目前 BAL 市值約為 6220 萬美元，較昨日減少約 477.55 萬美元。而 Gate 平台資料顯示，BAL 的價格在過去一段時間持續承壓。

市場對 Balancer 安全性的信心受到嚴重影響，投資者正在積極調整其持倉策略，出現了明顯的拋售壓力。

一個有趣的插曲是，據 LookonChain 監測，某個休眠了 3 年的加密巨鯨在 Balancer 平台漏洞發生後剛剛甦醒，急於從 Balancer 中提取自己的 650 萬美元相關資產。

05 行業連鎖反應：自救與暫停營運

面對突如其來的危機，多個與 Balancer 整合的專案展開了自救措施：

• Lido 已撤出其未受影響的 Balancer 頭寸
• Berachain 直接宣布暫停網路，以進行緊急硬分叉修復 BEX 上與 Balancer V2 相關漏洞
• Berachain 創始人 Smokey The Bera 表示，已讓 Ethena 團隊禁用 Bera 橋接，並暫停了相關市場的操作

這些舉措顯示了 Balancer 在 DeFi 生態中的關鍵地位，也凸顯了單一協議漏洞可能引發的系統性風險。

06 DeFi 安全未來之路：從技術債到風險管理

Balancer 的創新之一——允許最多 8 種代幣的自訂權重組合混合池——也成為了其安全軟肋。

相比 Uniswap 的簡潔設計，Balancer 的複雜性呈指數級成長。每增加一種代幣，池子的狀態空間就會急劇膨脹，攻擊面也隨之擴大。

Balancer 選擇了快速迭代的發展路徑。从 V1 到 V2，再到各種 Boosted Pool，每次升級都在舊程式碼上疊加新功能。

這種 “技術債務” 的累積，讓程式碼庫變成了一個脆弱的積木塔。

2025 年，DeFi 安全面臨新的挑戰。TEE.Fail 攻擊顯示，即使硬體級安全措施也能被價值 1000 美元的工具繞過。

而攻擊向量已從智能合約漏洞轉向操作漏洞，80.5% 的損失現在來自於鏈下威脅，如網路釣魚、虛假空投和私鑰外洩。

為因應這些挑戰，零知識證明密碼學和多簽錢包等創新技術正在將漏洞利用損失自 2020 年以來降低 90%。

07 投資者指南：在風險中謹慎前行

對於投資者而言，此次事件再次敲響了警鐘。在 DeFi 世界穿行需牢記：

• 立即從 Balancer V2 池中撤出資金，避免損失擴大
• 撤銷授權：使用 Revoke、DeBank 或 Etherscan 取消 Balancer 地址的智能合約權限
• 優先選擇經過審計的專案：重視那些結合了智能合約審計與即時監控和斷路器的協議
• 採用多簽錢包：降低單點故障風險，尤其是對於大額持倉

未來展望

截至 11 月 4 日最新消息，Balancer 黑客已經開始透過 Cow Protocol 將盜取的流動性質押代幣兌換為 ETH。鏈上分析師余烬監測到，黑客正不斷地將多條鏈上的被盜資產兌換為 ETH、USDC 等主流資產。

Balancer 官方已表示願意支付被盜資產的 20% 作為白帽獎勵以追回資產，48 小時內有效。但目前來看，這些被盜資產追回的希望愈發渺茫。

對於旁觀者，DeFi 是一場新奇的社會實驗；對於參與者，DeFi 被盜是一次昂貴的教訓；對於整個產業，DeFi 健全是走向成熟必須付出的學費。