Balancer 遭 1.16 亿美元黑客攻击，DeFi 安全神话再临破灭点？

“每次上线时间如此之久的合约被攻击时，都会让 DeFi 的采用进程倒退 6 到 12 个月。” Flashbots 战略总监、Lido 战略顾问 Hasu 在 Balancer 被黑后发表如此看法。

11 月 3 日，老牌 DeFi 协议 Balancer 遭遇前所未有的黑客攻击，损失高达 1.166 亿美元。

这笔巨额资产在短时间内通过一个存在于 Balancer V2 池智能合约中的跨链回调漏洞被迅速盗取。截至 11 月 4 日，黑客正通过 Cow Protocol 将盗取的资产兑换为 ETH。

01 事件回顾：巨额资金瞬间蒸发

Balancer 攻击事件在 11 月 3 日引爆加密世界，起初被盗金额约为 7000 万美元，随后不断攀升。

截至撰稿时，损失已高达 1.166 亿美元，成为 Balancer 历史上最严重的安全事件。

链上信息显示，攻击者盗取的主要资产包括 WETH、wstETH、osETH、frxETH、rsETH、rETH 等流动性质押代币。

这些资产分布在 ETH、Base、Sonic 等多条链上，其中以太坊链上损失最为惨重，接近 1 亿美元。

02 漏洞分析：低级错误引发的灾难

安全研究人员迅速定位了漏洞根源。根据安全监控机构 Defimon Alerts 和 Decurity 的分析，问题出在 Balancer V2 协议的 manageUserBalance 函数的访问控制检查中。

系统在验证 Balancer V2 的提款权限时，本应检查调用者是否是账户的真正所有者，但代码却错误地检查了 msg.sender（实际调用者）是否等于用户自己提供的 op.sender 参数。

由于 op.sender 是用户可控的输入参数，攻击者可以随意伪造身份，绕过权限验证。

这种基础的访问控制错误在一个运行 5 年的成熟协议中出现，让安全专家感到难以置信。

03 历史追溯：Balancer 的六年六次安全事故

如果你对“Balancer 被黑”这个标题感到熟悉，一点也不奇怪。这竟是 Balancer 5 年来的第 6 次安全事故。

回望历史，Balancer 的安全记录一直不容乐观：

• 2020 年 6 月：通缩代币漏洞，损失约 52 万美元
• 2023 年 3 月：因 Euler 事件间接受损，损失约 1190 万美元
• 2023 年 8 月：V2 池精度漏洞，损失约 210 万美元
• 2023 年 9 月：DNS 劫持攻击，损失约 24 万美元
• 2024 年 6 月：分叉项目 Velocore 被黑，损失约 680 万美元

一次次安全事故勾勒出 Balancer 乃至整个 DeFi 生态脆弱的安全防线。

04 市场影响：信心崩塌与价格暴跌

市场对此次攻击的反应迅速而激烈。根据 CoinMarketCap 数据，BAL（Balancer）代币在 11 月 3 日下跌 7.13%，报 0.92 美元。

当前 BAL 市值约为 6220 万美元，较昨日减少约 477.55 万美元。 而 Gate 平台数据显示，BAL 的价格在过去一段时间持续承压。

市场对 Balancer 安全性的信心受到严重影响，投资者正在积极调整其持仓策略，出现了明显的抛售压力。

一个有趣的插曲是，据 LookonChain 监测，某个休眠了 3 年的加密巨鲸在 Balancer 平台漏洞发生后刚刚苏醒，急于从 Balancer 中提取自己的 650 万美元相关资产。

05 行业连锁反应：自救与暂停运营

面对突如其来的危机，多个与 Balancer 集成的项目展开了自救措施：

• Lido 已撤出其未受影响的 Balancer 头寸
• Berachain 直接宣布暂停网络，以进行紧急硬分叉修复 BEX 上与 Balancer V2 相关漏洞
• Berachain 创始人 Smokey The Bera 表示，已让 Ethena 团队禁用 Bera 桥接，并暂停了相关市场的操作

这些举措显示了 Balancer 在 DeFi 生态中的关键地位，也凸显了单一协议漏洞可能引发的系统性风险。

06 DeFi 安全未来之路：从技术债到风险管理

Balancer 的创新之一——允许最多 8 种代币的自定义权重组成混合池——也成为了其安全软肋。

相比 Uniswap 的简洁设计，Balancer 的复杂性呈指数级增长。每增加一种代币，池子的状态空间就会急剧膨胀，攻击面也随之扩大。

Balancer 选择了快速迭代的发展路径。从 V1 到 V2，再到各种 Boosted Pool，每次升级都在旧代码上叠加新功能。

这种 “技术债务”的累积，让代码库变成了一个脆弱的积木塔。

2025 年，DeFi 安全面临新的挑战。TEE.Fail 攻击显示，即使硬件级安全措施也能被价值 1000 美元的工具绕过。

而攻击向量已从智能合约漏洞转向操作漏洞，80.5% 的损失现在来自于网络钓鱼、虚假空投和私钥泄露等链下威胁。

为应对这些挑战，零知识证明密码学和多签钱包等创新技术正在将漏洞利用损失自 2020 年以来降低 90%。

07 投资者指南：在风险中谨慎前行

对于投资者而言，此次事件再次敲响了警钟。在 DeFi 世界穿行需牢记：

• 从受影响池中撤资：立即从 Balancer v2 池中撤出资金，避免损失扩大
• 撤销授权：使用 Revoke、DeBank 或 Etherscan 取消 Balancer 地址的智能合约权限
• 优先选择经过审计的项目：重视那些结合了智能合约审计与实时监控和断路器的协议
• 采用多签钱包：减少单点故障风险，特别是对于大额持仓

未来展望

截至 11 月 4 日最新消息，Balancer 黑客已经开始通过 Cow Protocol 将盗取的流动性质押代币兑换为 ETH。链上分析师余烬监测到，黑客正不断地将多条链上的被盗资产兑换为 ETH、USDC 等主流资产。

Balancer 官方已表示愿意支付被盗资产的 20% 作为白帽奖励以追回资产，48 小时内有效。但目前来看，这些被盗资产追回的希望愈发渺茫。

对于旁观者，DeFi 是一场新奇的社会实验；对于参与者，DeFi 被盗是一次昂贵的教训；对于整个行业，DeFi 健全是走向成熟必须付出的学费。