去中心化交易所 Balancer已成為2025年最嚴重加密貨幣駭客事件之一的受害者,攻擊者利用複雜攻擊手法,突破多年審計防線,於七條區塊鏈網絡掏空約1.28億美元,引發DeFi生態震動。
此次駭客事件於11月3日凌晨發生,最初僅顯示損失約$7,000萬,依區塊鏈分析公司Nansen的數據。但數小時後,PeckShield安全研究者揭露,實際共於Ethereum、Berachain、Arbitrum、Base、Sonic、Optimism及Polygon 7個網絡被盜金額高達1.2864億美元。
黑客動作極快,將6,587 WETH(值2,446萬美元)、6,851 osETH(2,686萬美元)、4,260 wstETH(1,927萬美元)轉入新建錢包,隨即把所盜質押衍生資產兌換為ETH。Lookonchain區塊鏈分析平台報告,駭客即時將贓物兌換為以太幣,引起業界對利用去中心化混幣器或跨鏈橋作洗錢的疑慮。
技術解構:攻擊如何展開
此漏洞針對Balancer V2 Composable Stable Pools的關鍵缺陷,特別是協議中的“manageUserBalance”功能。安全研究者指錯誤的授權驗證令攻擊者無需授權即可操作,從而未經授權提取內部資產餘額。
鏈上分析師Adi於X平台解釋:「授權和callback處理不善,令黑客可繞過保護,未經授權地交換或操控多個互通池的資產。」 協議的高組合性設計,多池共用流動性,進一步放大漏洞危機,使黑客可於數分鐘內橫掃多鏈資產。
以太坊首當其衝,被盜金額約9,900萬美元。Berachain損失1,286萬美元,被迫緊急停網及硬分叉以保護用戶資產。Arbitrum失6,860,000元,Base失390萬,Sonic失344萬,Optimism失158萬,Polygon失23.2萬美元。
StakeWise迅速回收資產
在混亂中出現罕有好消息,以太坊質押項目StakeWise宣布成功追回部分被盜資金。透過緊急多簽交易,StakeWise DAO從黑客錢包奪回5,041 osETH(約1,900萬美元)及13,495 osGNO(170萬美元)。
這次回收涉及73.5%被盜osETH,以及100%受搶的osGNO。StakeWise確定所有取回資產會按照用戶事前餘額分配。尚餘26.5%(約700萬美元osETH)早已被兌換為ETH,無法挽回。
StakeWise在聲明中強調,其核心合約及osETH資產皆安全,漏洞只存在於Balancer基礎設施。這有效減輕市場恐慌,阻止大量ETH短期湧現市場,緩和了價格壓力。
审计悖論:11次審計仍失守
令人不安的是,Balancer被盜事件在重重審計下仍難防失竊。Balancer智能合約接受了四大安全公司共11次嚴格審計,包括OpenZeppelin、Trail of Bits、Certora及ABDK,最新穩定池審計於2022年9月完成。
Web3開發者Suhail Kakar提及,儘管核心合約多次經獨立公司檢查,協議仍遭嚴重攻擊。此事再度引發業界對審計模式能否應對DeFi威脅的討論。
區塊鏈鑑證業者觀察,2025年DeFi駭客損失已逾10億美元,近四成涉權限控制錯誤。Balancer個案反映,單靠反覆靜態審查,難以發現複雜系統細微漏洞。
市場影響及社群反應
Balancer的鎖倉總值急瀉46%,由約7.7億跌至4.22億美元,投資者爭相撤資。本地治理代幣BAL 24小時內跌逾8%,至0.91美元,其他數據報跌約5%。
以太價格亦受拖累,11月4日報$3,629-$3,714,跌幅4-8%。賣壓反映市場對DeFi協議安全疑慮,且恐有更多跨協議漏洞事件。
Balancer於X發聲明,確認已知悉「潛在的V2池漏洞」,工程及安全團隊正高優先級調查,並將以審核後的資訊對外公佈。
為追回資金,Balancer懸賞2,560萬美元20%白帽賞金,回收期限48小時。團隊於鏈上警告「合作夥伴有信心透過存取日誌元數據鎖定你」,包括IP和時間記錄。
安全記錄反覆出事
這是Balancer史上最大漏洞,但非首次。自2020年成立以來,協議已發生至少六宗重大安全事故,平均每年一次。
2020年6月因閃電貸損失50萬美元,源於處理Statera(STA)等縮水代幣機制出錯。2023年8月黑客利用精度漏洞吸走約210萬美元,僅一週前協議才披露V2池有「嚴重漏洞」。
下一月,2023年9月DNS劫持事件導致用戶被引導至釣魚網站,損失23.8萬美元。2023年3月Euler Finance攻擊間接波及Balancer,bbeUSD池被掠走1,190萬美元。
對DeFi安全的深遠啟示
這次事件發生於去中心化金融關鍵時刻。Chainalysis報告指,僅2025年上半年駭客已盜逾20億美元加密資產,當中北韓國家級黑客約佔16.5億。
此攻擊再度引爆業界對DeFi協議核心安全挑戰的討論。與可凍結或撤銷交易的中心化交易所不同,去中心化平台運作於不可更改的智能合約之上。 contracts that, once deployed, cannot be easily modified to patch vulnerabilities.
一旦部署,就難以輕易修改來修補漏洞的合約。
Several blockchain networks took unprecedented action in response to the exploit. Berachain validators halted their network to perform emergency updates. Polygon validators censored hacker transactions. Sonic introduced functionality to freeze and zero out the hacker's account. These interventions sparked debate within the crypto community about the tension between decentralization principles and practical security needs.
多個區塊鏈網絡針對今次攻擊作出史無前例的行動。Berachain 的驗證者暫停了他們的網絡以進行緊急更新。Polygon 的驗證者則過濾了駭客的交易。Sonic 新增了凍結及清零駭客賬戶的功能。這些干預措施在加密社群內引發爭議,聚焦於分散化原則與實際安全需求之間的矛盾。
Prominent crypto commentator Haseeb observed on X that "smaller ecosystems should prioritize safety and community protection over 'code is law'" — a reference to the crypto industry's traditional ethos that smart contract outcomes should be final and irreversible, even when they result from exploits.
著名加密評論員 Haseeb 於 X 上表示,「較小的生態圈應優先考慮安全及社群保護,而非堅持『程式碼即法律』」——這是指加密行業傳統理念:智能合約的結果應該是最終並不可逆的,即使是因為被攻擊而造成的後果也一樣。
Final thoughts
最後想法
For Balancer, this breach represents a critical inflection point. The protocol had weathered previous storms and maintained its position as one of DeFi's established players, with approximately $355 million still locked as of November 4 despite the dramatic decline. The platform continues to process significant trading volume, handling around $2.81 billion monthly and generating approximately $10.7 million in annual revenue.
對於 Balancer 來說,這次安全漏洞是一個關鍵轉捩點。該協議過去曾經歷過風浪,但一直保持其作為 DeFi 主要平台之一的地位,截至 11 月 4 日依然有約 3.55 億美元鎖定資金,雖然大幅下跌,但平台仍持續處理大量交易,每月成交額約 28.1 億美元,年營業收入約 1,070 萬美元。
However, rebuilding user trust after a $128 million exploit will require more than technical fixes. The crypto community increasingly demands transparency, rapid communication during crises, and concrete evidence that security vulnerabilities have been comprehensively addressed.
然而,在發生了 1.28 億美元的攻擊後,要重新建立用戶信任,需要的不只技術修復。加密社群越來越要求平台有透明度,能在危機時迅速報告,以及提供具體證據,證明安全漏洞已被全面修正。
Industry observers expect the Balancer incident to accelerate regulatory scrutiny of DeFi protocols, particularly in the United States where authorities are developing new frameworks for decentralized finance oversight. The fact that extensive auditing proved insufficient to prevent this breach may prompt regulators to require additional safeguards, insurance mechanisms, or liability structures for DeFi platforms.
業界觀察者預期,Balancer 事件將會加快監管機構對 DeFi 協議的審查,特別是在美國,相關部門正在制定新的去中心化金融監管框架。即使進行過多次審計仍未能阻止今次漏洞,這一事實或會令監管機構要求 DeFi 平台建立更多保障措施、保險機制或問責架構。
For now, Balancer users face difficult decisions about whether to maintain their positions or withdraw to safer alternatives. Security researchers continue investigating the full scope of the vulnerability, while blockchain forensics teams work with law enforcement to track the stolen funds. Whether the hacker will accept Balancer's white-hat bounty offer or successfully launder the funds through mixers and cross-chain bridges remains to be seen.
目前,Balancer 的用戶要面對是否繼續持倉或撤出、轉向更安全選擇的難題。安全研究員仍在調查漏洞的全貌,而區塊鏈取證團隊則與執法部門合作,追查被盜資金。駭客最終會否接受 Balancer 的白帽獎金提議,抑或成功通過混幣器和跨鏈橋洗走資金,仍是未知之數。
What's certain is that this exploit has added another cautionary chapter to DeFi's turbulent history, reminding both developers and users that in crypto's cutting-edge financial systems, security must evolve as rapidly as the technology itself.
可以肯定的是,今次攻擊又為 DeFi 動盪的歷史添上警世一頁,提醒開發者和用戶,在加密貨幣創新的金融系統內,安全必須跟科技發展一樣不斷進化。