Balancer 遭受漏洞攻击，1.28亿美元从金库转移

去中心化金融（DeFi）协议Balancer在遭受恶意攻击后损失了1.28亿美元。链上数据显示，超过1.28亿美元的资产从协议的金库中被提取。 

被盗资金包括osETH、WETH和wstETH，攻击者正在整合被盗资产，引发了对洗钱的担忧。 

Balancer遭受攻击 

知名去中心化金融（DeFi）协议Balancer遭受了重大攻击，链上数据显示超过1.28亿美元的资产已被转移到一个新钱包。根据区块链数据，被盗资金包括6,850个osETH、6,590个WETH和4,260个wstETH，此次黑客攻击影响了Balancer v2上的金库。该协议的v2金库作为其中央流动性引擎，聚合代币并促进流动性池之间的交易。Balancer团队在X上承认了这次黑客攻击，表示， 

Sonic、Polygon和Base上的金库也受到了影响。 

Trading Strategy的联合创始人兼CEO Mikko Ohtamaa指出，对攻击的初步分析表明，有缺陷的智能合约是攻击的主要原因。他补充说，虽然并非所有Balancer版本都受到影响，但如果较旧的v2分叉共享攻击者使用的相同漏洞，损失可能会更高。安全公司PeckShield表示，攻击仍在Balancer部署的多个链上进行。 

攻击是如何展开的 

根据安全公司Decurity的说法，攻击是由于Balancer的"manageUserBalance"功能中的访问控制缺陷造成的。漏洞存在于ValidateUserBalanceOp中，它将msg.sender与用户提供的op.sender进行比较，这是一个逻辑缺陷，允许通过UserBalanceOpKind.WITHDRAW_INTERNAL操作进行未授权提款。 

简单来说，这个漏洞允许攻击者在没有必要权限的情况下从Balancer的智能合约中触发内部余额提款。 

链上安全专家强调，攻击者的地址已经开始整合资产，引发了他们正准备通过去中心化混合器洗钱的担忧。 

第三次攻击 

Balancer是建立在以太坊上的去中心化平台，允许用户使用其自平衡池交易代币并提供流动性。该协议自2020年以来一直活跃，仅在以太坊上就持有超过3.5亿美元的总锁定价值（TVL）。最新事件是Balancer已知的第三次安全漏洞。该平台此前在2021年和2023年遭受攻击，损失了数百万美元。链上专家表示，金库是Balancer的主要智能合约，持有来自每个Balancer池的代币。 

这种设计在Balancer v2中引入，将代币记账与池逻辑分离，使池更小、更简单、更安全地构建。这种方法允许任何人插入新的池设计，而无需创建新的DEX。

免责声明：本文仅供参考。它不作为法律、税务、投资、财务或其他建议提供或使用。