Balancer 是目前最大型的去中心化金融協議之一,鎖倉總值超過 $7.5 億美元,最近成為精心策劃的加密攻擊新受害者。鏈上數據顯示,攻擊者以協調方式於多條區塊鏈網絡中,成功自協議保險庫掏走約 7,000 萬至 8,800 萬美元數位資產。
這次漏洞事件發生於 2025 年 11 月 3 日,為 Balancer 今年內第三宗重大安全事故,進一步加深外界對去中心化金融基建脆弱,以及確保複雜智能合約安全的持續難題。
CoinDesk 分析的區塊鏈數據顯示,被盜資產包括大約 6,850 個 StakeWise Staked ETH (osETH)、6,590 個 Wrapped Ether (WETH),以及 4,260 個 Lido Wrapped Staked ETH (wstETH)。這些資產從 Balancer 的保險庫合約地址,轉移至新錢包,安全研究員形容涉事攻擊具計劃性且執行精密。
安全公司 PeckShield 指出,攻擊仍於多條 Balancer 部署的鏈上進行,損失金額預計接近 8,800 萬美元。受影響為 Balancer 第二版 (V2) 保險庫,部署於以太坊、Sonic、Polygon、Base 網絡,此事件突顯攻擊者對協議多鏈架構有深入理解。
區塊鏈分析公司 Cyvers 估計,涉案鏈上可疑交易高達 8,400 萬美元,其他來源則將損失定於 7,000 萬美元左右。由於事件持續發展,實時追蹤多鏈資產困難,導致不同機構公佈數字存在差異。
技術漏洞曝光
根據安全研究員初步分析,攻擊利用了 Balancer「manageUserBalance」函數的重大安全漏洞。問題源於該函數驗證機制中,validateUserBalanceOp 元件的權限控制失當。
漏洞讓攻擊者可透過操縱系統驗證交易發送者方式,繞過安全檢查。正常情況下該函數應嚴格核對訊息發送者是否等同操作發起人,但漏洞容許未授權人士以 UserBalanceOpKind.WITHDRAW_INTERNAL 操作執行內部餘額提取,無需合法授權。
此疏忽導致攻擊者即使沒有相應權限,也能從 Balancer 智能合約觸發資產提取,嚴重違反協議本身安全模型。
認識 Balancer 保險庫架構
要理解今次事件嚴重性,須先弄清 Balancer 獨特的保險庫架構。不同於傳統去中心化交易所每個資金池分別管理資產,Balancer V2 創新地將所有資金池的資產集中存放於單一智能合約,即 Vault。
於 2021 年首度推出的這個架構,將資產結算與資金池邏輯分離,使資金池設計更簡潔高效。如此安排令交易手續費減省、資金效率提升,同時也使保險庫成為黑客的重要攻擊目標。一旦保險庫被攻破,將可同時撼動多個池子,如今次事件般影響深遠。
市場衝擊與即時後果
這次漏洞即時觸發市場反應。Balancer 原生代幣 BAL 當日由高位急跌逾 5%,反映投資者對協議安全性的關注和未來潛在風險。
專家發現,攻擊者於首次轉出資產後迅速整合贓款,令人擔心資金會經去中心化混幣器或跨鏈橋清洗。這類手法與過往大型 DeFi 盜竊案相似,黑客通常會迅速轉移及隱藏贓款來源,再尋求變現或協商歸還。
不安模式:Balancer 安全歷史
這次已是 Balancer 歷來第三次出現重大安全事件,協議歷史上漏洞接二連三令人擔憂。
2020 年,Balancer 曾損失 50 萬美元,當時攻擊者利用一個通縮型代幣攻擊兩個流動性池,藉調控非標準 ERC-20 代幣(每次轉帳會銷毀部分資產)的合約行為轉出 WETH 及其他資產。
最近一次則為 2023 年 9 月因 DNS 社工攻擊損失 23.8 萬美元。黑客侵入 EuroDNS(Balancer 網域管理公司),將流量引導至惡意釣魚網站及合約,突顯 DeFi 協議除智能合約外亦受傳統網絡設施威脅。
就在該 DNS 攻擊發生數星期前,於 2023 年 8 月,Balancer 披露流動性池重大漏洞,導致閃電貸攻擊盜走約 100 至 200 萬美元資產。儘管協議及早通告社群及保護大部分資金,PeckShield 仍指出實質損失遠高於最初預計。
DeFi 安全:行業共同難題
Balancer 的困境正反映整個 DeFi 行業安全挑戰。該協議身處的領域中,曾有 87% 企業在 2021 年受 DNS 攻擊,每年智能合約漏洞導致損失數十億美元。
DeFi 協議本身設計複雜,涉及多重合約互動、跨鏈操作與自動化做市機制,潛在攻擊通道甚多。儘管部分協議曾進行嚴格審計,仍難以完全根除未知漏洞,正如今次 Balancer 事件中的基礎權限控制缺陷。
保安專家留意到,DeFi 業界推陳出新步伐令安全標準往往追不及技術更新。新功能或優化可能潛藏隱蔽風險,即使資深審計或開發人員亦難即時發現。DeFi 權限開放,一旦新漏洞曝光,黑客能極速利用而無設限。
協議回應與社群反應
截至現時,Balancer 開發團隊尚未就事件發表正式聲明。雖令部分社群成員感到憂慮,但重大安全事故爆發後即時靜默屬於常見情況。開發團隊一般會先查明漏洞範圍、立即修補,再考慮對外公佈,避免黑客趁隙深入。
多家區塊鏈分析公司,如 Nansen、PeckShield,已標記相關交易高度可疑並持續監控後市動態。加密貨幣安全界現已行動,追蹤被盜資產及探索資金追回途徑。
業內觀察指出,Balancer 曾為漏洞提交開出 DeFi 歷來最高賞金之一—高達 1,000 ETH 或 200 萬美元。但即使有如此激勵,今次漏洞仍能躲過安全審查,反映現代 DeFi 攻擊越趨高明隱蔽。
對 DeFi 生態未來的啟示
此事件引發業界對 DeFi 安全模式可持續性的重大關注。協議像 Balancer 般管理逾 7.5 億美元用戶資金,等同重要金融基建,需採取企業級安全措施。
有專家建議,DeFi 須更審慎設計開發,包括新代碼上線前設「冷卻期」、對關鍵智能合約作形式化驗證,以及強化實時監控等方式。 security tooling and more rigorous audit processes that can identify complex, multi-faceted vulnerabilities before they're exploited.
更嚴謹的安全工具同審計流程,可以喺漏洞被利用之前,識別到複雜同多層面的安全漏洞。
The multi-chain nature of this attack also highlights the growing security challenges as DeFi protocols expand across multiple blockchain networks. Each new chain deployment multiplies the attack surface and requires careful adaptation of security measures to different blockchain environments and virtual machine architectures.
今次攻擊涉及多條鏈,亦都突顯咗隨住DeFi協議擴展到多個區塊鏈網絡,安全風險同挑戰持續增加。每部署一條新鏈,就會擴大被攻擊嘅範圍,而且要小心根據唔同嘅區塊鏈環境同虛擬機架構,去調整適當嘅安全措施。
Final thoughts
最後想法
For Balancer users, the immediate priority is monitoring protocol announcements for guidance on fund security. The DeFi community typically rallies around affected protocols, with security researchers, competing projects, and industry organizations often offering assistance in tracking stolen funds and identifying vulnerabilities.
對於Balancer用戶來講,現時最重要係密切留意協議公佈,有關資金安全嘅最新指引。DeFi圈普遍都會支持受影響嘅協議,通常有安全專家、競爭對手項目,甚至業界組織主動協助追蹤被盜資金同發現漏洞。
The broader crypto industry will be watching closely to see how Balancer responds to this third major security incident. Will the protocol implement more rigorous security measures? Will affected users be compensated? And most importantly, what lessons can the wider DeFi ecosystem learn to prevent similar exploits?
更大範圍嘅加密貨幣業界,都會密切觀察Balancer點樣應對第三次重大安全事件。協議會唔會加強安全措施?受影響用戶會唔會有賠償?而最重要嘅係,整個DeFi生態圈可以吸收啲咩教訓,避免同類攻擊再發生?
As DeFi continues to mature and attract institutional participation, security incidents of this magnitude serve as stark reminders that the industry still faces significant technical challenges. The promise of decentralized finance - transparent, permissionless, and accessible financial services - can only be realized if protocols can guarantee the security of user funds.
隨住DeFi逐漸成熟,吸引到更多機構參與,呢種大型安全事件都係一個重要警號,提大家呢個行業仲要面對唔少技術挑戰。去中心化金融承諾提供透明、開放同易接觸嘅金融服務,但前提係協議必須能夠保障用戶資金安全,先可以真正實現呢個願景。
This developing story underscores the reality that in DeFi's fast-moving, high-stakes environment, security isn't just a technical requirement - it's an existential necessity for the industry's long-term viability.
事件發展到而家,再次強調一個現實:喺DeFi呢個急速發展、高風險嘅環境之下,安全唔單止係技術需求,更加係呢個行業長遠生存落去嘅必要條件。