Balancer V2 在重大 DeFi 黑客攻击中损失 1.28 亿美元

2025年11月3日，Balancer作为最古老且最受信任的去中心化金融（DeFi）平台之一，遭遇了一次大规模黑客攻击，导致用户损失超过1.28亿美元。

这次黑客攻击始于周一上午7:48 UTC。攻击者成功窃取了约6,587个WETH（价值约2450万美元）、6,851个osETH（价值2690万美元）和4,260个wstETH（价值1930万美元）以及其他代币。被盗资金迅速转移到黑客控制的新创建钱包中。

攻击手法

安全研究人员发现，黑客利用了Balancer V2智能合约代码中的一个关键漏洞。这个漏洞存在于名为"manageUserBalance"的函数中，该函数本应控制谁可以在系统内转移资金。根据区块链安全专家的说法，攻击者利用了一个有缺陷的访问检查，该检查混淆了两个不同的发送者身份，从而允许未经授权的提款。

攻击方法非常复杂。黑客部署了恶意智能合约并创建假代币，以操纵Balancer流动性池中真实代币的价格。他们利用系统计算中的微小舍入误差，在单个交易中使用多次交换，将这些小差异放大为巨大的价格扭曲。这使他们能够以极为有利的汇率从池中抽走流动性。

来源：@Balancer

使这次攻击特别令人担忧的是其中涉及的策划水平。区块链数据显示，攻击者精心准备了数月，通过Tornado Cash使用0.1 ETH的小额存款为其账户提供资金，以掩盖踪迹。这种有条不紊的方法表明，这是一位技术高超且经验丰富的黑客所为，可能与之前的加密货币漏洞利用有关联。

多个区块链遭受重创

损害并不局限于单一网络。由于Balancer跨多个区块链运营，黑客攻击迅速蔓延。以太坊遭受了最严重的损失，达9900万美元。其他网络也遭受了重大打击：Berachain损失1286万美元，Arbitrum损失686万美元，Base损失390万美元，Sonic损失344万美元，Optimism损失158万美元，而Polygon损失23.2万美元。

连锁反应超出了Balancer本身。几个复制了Balancer代码（称为"分叉"）的项目也变得容易受到同样攻击。Beets Finance报告了约300万美元的受影响资金，而Beefy Finance作为安全措施暂停了所有与Balancer V2相连的产品。

在一个颇具争议的举动中，Berachain验证者完全停止了他们的区块链网络并执行了紧急硬分叉，以保护估计价值1200万美元的用户资金。这一决定在加密社区引发了辩论，因为许多人认为停止和逆转区块链交易违背了去中心化的核心原则。

审计问题

这次黑客攻击最令人不安的方面可能是，Balancer V2已经被顶级安全公司（包括OpenZeppelin、Trail of Bits、Certora和ABDK）审计了10多次。这些审计发生在2021年至2023年间，但漏洞仍然漏网。

这一失败引发了对DeFi领域安全审计有效性的严重质疑。区块链研究员Suhail Kakar在社交媒体上表示："Balancer经历了10多次审计。保险库被不同公司单独审计了三次，仍然被黑客攻击损失1.1亿美元。这个领域需要接受'由X审计'几乎毫无意义的事实。"

安全专家现在认为，静态代码审计已不再足够。相反，DeFi平台需要持续的实时监控系统，能够在资金被抽走之前检测可疑活动。

市场影响和恢复努力

市场对这一消息反应迅速。Balancer的原生BAL代币下跌11.1%至0.87美元，协议的总锁定价值在24小时内从7.76亿美元暴跌至4.06亿美元。这一大规模资金外流显示了当安全受到威胁时，用户信心丧失的速度有多快。

Balancer团队通过向攻击者提出一项交易作出回应：归还所有被盗资金，并保留20%作为"白帽奖励"（价值约2560万美元）。团队给黑客48小时接受时间，并警告如果资金不归还，他们将与执法部门和区块链取证专家合作。

恢复努力已取得一些成功。受影响协议之一StakeWise成功从攻击者那里收回了约1900万美元的osETH代币和170万美元的osGNO代币。这代表了被盗osETH的约73.5%。收回的资金将根据攻击前的余额返还给受影响的用户。

更大的图景

这次黑客攻击符合2025年的一个令人不安的模式。仅在上半年，黑客就窃取了超过20亿美元的加密货币，总损失现已超过22亿美元。这些资金中的大部分已被追踪到据称与朝鲜政府有关的黑客，朝鲜将加密货币盗窃作为其武器计划的关键收入来源。

虽然没有确认Balancer黑客攻击的归属，但其复杂的计划和执行与臭名昭著的Lazarus Group（一个朝鲜国家支持的黑客组织，以在重大抢劫前进行广泛准备而闻名）实施的攻击有相似之处。

Balancer确认只有V2 Composable Stable Pools受到影响，而Balancer V3和其他池类型仍然安全。团队正在与安全研究人员合作，制作详细的事后分析报告，并已警告用户注意冒充Balancer官方通信的虚假信息。

当信任崩溃

Balancer漏洞利用事件为整个DeFi行业敲响了警钟。尽管它是最成熟且经过审计最多的协议之一，但仍然成为了一次毁灭性攻击的受害者。这一事件证明，即使是广泛的安全措施也不能保证保护，加密货币领域必须超越当前做法，以领先于日益复杂的黑客。现在的问题是，该行业是否会从这次失败中吸取教训，并实施实时监控和分层安全系统，以防止下一次重大漏洞。