Balancer 遭駭
去中心化金融(DeFi)再度陷入黑暗時刻,2025年11月3日,老牌流動性協議 Balancer(BAL)爆發重大安全漏洞,駭客於數小時內盜取逾1.16億美元資產,此事件迅速在區塊鏈社群引發恐慌,成為 DeFi 歷史上規模最大、影響最廣的駭客攻擊之一。
區塊鏈追蹤資料顯示,攻擊者鎖定 Balancer V2 智能合約的資產庫模組,透過不當授權與回調漏洞操控流動性池,實現未經授權的資產轉移。此次事件並非因私鑰外洩,而是來自智能合約本身的邏輯缺陷。
以太坊成重災區
(來源:lookonchain)
截至目前,根據 Lookonchain 監測相關錢包地址,駭客將資產分散至多條主流鏈,包括以太坊主網、Arbitrum、Base、Sonic、Optimism 與 Polygon 等,竊取超過1.16億美元資金。遭竊資產主要為 WETH、rETH、frxETH、osETH、rsETH 等多種流動性質押代幣(LST),顯示攻擊者對跨鏈 DeFi 資產結構有極高熟悉度。
智能合約回調漏洞成為關鍵
安全研究員指出,駭客在流動性池初始化階段部署惡意合約,利用資產庫授權檢查鬆散與異常狀態更新,成功繞過防護,讓攻擊者能跨池進行未授權兌換或操控池內餘額,最終於短時間內完成資金轉移。
審計機構 kebabsec 與多位開發者證實,此次事件核心並非授權檢查錯誤,而是發生於提領前的交易狀態變化,導致合約於資產結算時遭惡意利用。
相關生態反應
隨著事件擴大,多個與 Balancer 深度整合的協議已陸續採取防禦措施:
- Lido 迅速撤回其於 Balancer 上未受影響的資產部位,以防範風險擴大。
- Berachain 宣布暫停網路運作,並規劃緊急進行硬分叉,以修復 BEX 平台涉及 Balancer V2 的相關漏洞。
Berachain 創辦人 Smokey The Bera 指出,團隊已與多家中心化交易所合作,將駭客錢包納入黑名單,並暫停橋接、借貸及 HONEY 鑄造等功能,以保障流動性提供者資金安全。
加密巨鯨緊急撤資
(來源:lookonchain)
本事件中,一個已沉睡三年的錢包(0x0090)成為焦點。根據 Lookonchain 區塊鏈數據,該巨鯨在 Balancer 漏洞曝光後立刻甦醒,並火速提領逾650萬美元資產。此舉被視為市場恐慌的縮影,也反映 DeFi 投資者對安全事件的高度敏感反應。
追蹤駭客行蹤
區塊鏈分析師發現,駭客已開始透過 Cow Protocol 與多條鏈上的 DEX 平台,將遭竊的 LST 資產逐步兌換為 ETH、USDC 等主流代幣。例如,攻擊者將 10 osETH 兌換成 10.55 ETH,顯示其正採用洗錢與混幣技術,提升追蹤難度。
目前尚無資金追回跡象,安全團隊僅能透過地址封鎖與區塊鏈監控進行阻擋。
投資者該如何自保?
針對 Balancer 用戶與 DeFi 投資者,請儘速執行下列措施:
- 撤資:自 Balancer V2 池提領資產,防止損失擴大。
- 撤銷授權:使用 Revoke.cash 或 DeBank 檢查並取消 Balancer 相關授權。
- 監控風險:密切留意官方公告與區塊鏈追蹤,警覺潛在連鎖攻擊。
總結
本次 Balancer 攻擊事件再次凸顯智能合約安全的脆弱性。DeFi 的核心價值在去中心化與自我託管,但同時也意味著所有責任落在用戶與開發團隊身上。未來如何在創新與安全之間取得平衡,將決定整個去中心化金融的發展命運。此次危機雖使 Balancer 面臨重大挑戰,也促使 DeFi 安全機制加速升級。
分享
相關文章
什麼是 Fartcoin(FARTCOIN)?Solana 熱門 AI Meme 幣完整指南
什麼是 Oasis Network (ROSE)?
那場鮮有人提起的 5000 萬美元加密騙局
