Balancer 是最具規模的去中心化金融協議之一,總鎖倉價值超過 $7.5 億美元,近期成為一起精密加密貨幣攻擊案的最新受害者。鏈上數據顯示,攻擊者以協同方式竊取了價值 7,000 萬至 8,800 萬美元的數位資產,受害金庫橫跨多條區塊鏈。
此次駭客入侵發生於 2025 年 11 月 3 日,為 Balancer 今年第三次發生重大安全事件,再度引發外界對 DeFi 基礎建設安全性的嚴重疑慮,以及如何保護複雜智能合約系統的持續挑戰。
CoinDesk 分析的區塊鏈數據顯示,這些被竊資產包含約 6,850 枚 StakeWise Staked ETH (osETH)、6,590 枚 Wrapped Ether (WETH) 以及 4,260 枚 Lido Wrapped Staked ETH (wstETH)。上述資產自 Balancer 金庫合約地址被轉移至新生成錢包,安全研究人員直指這是一次精心策畫且執行周密的攻擊。
安全公司 PeckShield報告指出,該攻擊仍在 Balancer 部署的多條鏈蔓延,損失金額可能逼近 8,800 萬美元。這次受害重點為 Ethereum、Sonic、Polygon 及 Base 等網路上部署的 Balancer v2 金庫,顯示攻擊者對協議多鏈架構具備高深理解。
區塊鏈分析公司 Cyvers估計,與此次 Balancer 漏洞案相關且可疑的多鏈交易總額高達 8,400 萬美元,不過亦有消息指出損失金額較接近 7,000 萬美元。損失金額出現落差,反映本次攻擊仍在進行,且實時追蹤多鏈資產移動存在難度。
技術漏洞曝光
根據安全研究人員的初步分析,駭客此次利用了 Balancer「manageUserBalance」功能的重大缺陷。該漏洞源自功能驗證機制(特別是 validateUserBalanceOp 組件)在存取權限上的疏忽。
缺陷讓攻擊者能規避安全檢查,藉由操控系統對交易發送者的驗證方式繞過防線。正常情況下,應嚴格確認發送人與操作人身份一致,但漏洞卻讓未經授權者能通過 UserBalanceOpKind.WITHDRAW_INTERNAL 操作實現內部資金提領,無需任何授權。
這一技術疏失意味著攻擊者能在缺乏必要權限的情況下,自 Balancer 智能合約觸發資金提領,根本挑戰協議安全架構的基礎。
Balancer 金庫架構解析
要深刻理解這次攻擊嚴重性,需先認識 Balancer 獨特的金庫架構。不同於傳統去中心化交易所每個池自主管理資產,Balancer V2 創新性地將所有資產集中於「金庫」智能合約內統一管理。
此設計於 2021 年首次發佈,將資產記錄與流動性池邏輯完全分離,使池子結構更精簡、營運效率提升。雖然這設計帶來管理靈活與降低 Gas 成本等優勢,同時也讓金庫成為駭客眼中高價值的攻擊標的。本次事件證明,金庫一旦失守,恐波及多個池同步受損。
市場影響與即時後果
攻擊發生後,市場即出現劇烈反應。Balancer 原生 BAL 代幣於週一高點下跌超過 5%,反映投資人對協議安全性的擔憂。此滑落也預示更多系統漏洞的可能性。
安全專家發現駭客錢包於最初提款後即展開資產合流,外界關注後續或動用去中心化資金混洗平台或跨鏈橋進行洗錢。過往多起 DeFi 攻擊案均顯示,攻擊者往往在短時間內迅速轉移並隱匿資金來源,避免追查並伺機脫手或談判歸還。
多次安全事件:Balancer 事故史回顧
這次駭客入侵,代表 Balancer 過去屢遭重大安全事件的最新一例,建立起其協議歷史上令人擔憂的漏洞模式。
於 2020 年,Balancer 曾損失 50 萬美元,攻擊者利用特殊去通脹型代幣技巧,操控協議智能合約對非標準 ERC-20 代幣(如會燒毀持有量)處理機制,成功盜走 WETH 等其他高價值資產。
最近一次事件發生於 2023 年 9 月,Balancer 因 DNS 社交工程攻擊損失 23.8 萬美元。駭客滲透負責管理 Balancer 網域名稱的 EuroDNS 公司,將官方網站導向釣魚內容與惡意智能合約。此事件驗證 DeFi 協議面臨的威脅不單來自智能合約漏洞,更包括傳統網路基礎設施的漏洞。
少數星期前,於 2023 年 8 月 Balancer 曾揭露流動性池重大漏洞,導致閃電貸攻擊致損失約 100 至 200 萬美元。儘管協議及時通知社群並設法保障大部分資產,PeckShield 後續發現實際損失遠超官方初步估計。
DeFi 安全為行業共業
Balancer 多次遭駭,映現 DeFi 全產業共同的安全壓力。該協議正處於一個 2021 年 87% 公司均曾遭 DNS 攻擊的產業環境,而智能合約漏洞每年導致數十億美元損失。
DeFi 協議複雜度高,多智能合約間交互、跨鏈操作及自動化造市機制等皆產生眾多潛在攻擊面。即便經過全面審計,仍可能潛藏未知漏洞,本次 Balancer 攻擊即針對最基本的存取權限管理。
安全專家指出,DeFi 發展速度極快,往往超前安全最佳實踐。新功能及優化可能引入未被察覺的漏洞,縱有經驗的審計團隊和開發人員亦會疏忽。DeFi 講求無許可創新,漏洞一旦曝光,攻擊者能立即無限制利用。
協議應對與社群反應
截至目前,Balancer 開發團隊尚未針對本次漏洞發布正式聲明。這種沈默,雖引社群部分憂慮,但在重大資安事故發生後並不罕見。開發團隊多會優先調查影響範圍及緊急修補,再公開發表相關資訊,避免讓駭客掌握進一步弱點。
多家區塊鏈分析機構如 Nansen 與 PeckShield,均將相關交易標註為異常,並持續追蹤惡意行為。加密安全社群也已動員監控被竊資產,尋找資金回收可能路徑。
有行業觀察人士指出,Balancer 曾設下 DeFi 史上最高漏洞懸賞金之一,高達 1,000 ETH(約 200 萬美元),只要發現可導致金庫資金被盜的重大漏洞。該缺陷最終於高獎勵下仍未被識破,更突顯 DeFi 新型攻擊的高明與複雜。
對 DeFi 未來的啟示
本次事件對 DeFi 目前的安全標準可持續性提出嚴峻拷問。用戶資金規模超過 7.5 億美元,協議如 Balancer 已成為高度依賴的金融基礎設施,未來應需強化至企業級安全標準。
部分專家認為,DeFi 必須採取更保守的開發流程,包括新程式碼強制等待上線、關鍵合約正式驗證,以及加強實時監控等措施。亦有聲音主張... security tooling and more rigorous audit processes that can identify complex, multi-faceted vulnerabilities before they're exploited.
多元且更嚴謹的安全工具與稽核流程,可以在漏洞被利用前,識別出複雜且多面的安全弱點。
The multi-chain nature of this attack also highlights the growing security challenges as DeFi protocols expand across multiple blockchain networks. Each new chain deployment multiplies the attack surface and requires careful adaptation of security measures to different blockchain environments and virtual machine architectures.
這次攻擊的跨鏈特性,同時突顯了隨著 DeFi 協議橫跨多個區塊鏈網絡而日益嚴峻的安全挑戰。每新增一條鏈部署,就等於擴大一次攻擊面,且需要針對不同的區塊鏈環境與虛擬機架構,謹慎調整安全措施。
Final thoughts
最後想法
For Balancer users, the immediate priority is monitoring protocol announcements for guidance on fund security. The DeFi community typically rallies around affected protocols, with security researchers, competing projects, and industry organizations often offering assistance in tracking stolen funds and identifying vulnerabilities.
對於 Balancer 用戶來說,當務之急是持續關注協議方的公告,以獲取資金安全的指引。DeFi 社群在面對受影響協議時,通常會團結合作,包含安全研究人員、競爭項目與產業組織都會主動協助追蹤被盜資金並協助找出漏洞。
The broader crypto industry will be watching closely to see how Balancer responds to this third major security incident. Will the protocol implement more rigorous security measures? Will affected users be compensated? And most importantly, what lessons can the wider DeFi ecosystem learn to prevent similar exploits?
整個加密產業都將密切關注 Balancer 對於這第三次重大安全事件的應對措施。協議是否會實施更嚴格的安全管控?受影響的用戶會獲得賠償嗎?更重要的是,整個 DeFi 生態系可以從這次事件學到哪些教訓,以預防類似的攻擊再次發生?
As DeFi continues to mature and attract institutional participation, security incidents of this magnitude serve as stark reminders that the industry still faces significant technical challenges. The promise of decentralized finance - transparent, permissionless, and accessible financial services - can only be realized if protocols can guarantee the security of user funds.
隨著 DeFi 不斷成熟並吸引機構參與,這類規模的安全事件再度強烈提醒我們:這個產業仍面臨重大的技術挑戰。去中心化金融所承諾的「透明、無需許可,且人人可及的金融服務」,唯有在協議能夠保障用戶資金安全的前提下,才有機會真正實現。
This developing story underscores the reality that in DeFi's fast-moving, high-stakes environment, security isn't just a technical requirement - it's an existential necessity for the industry's long-term viability.
這起持續發展的事件凸顯了一個現實:在 DeFi 這個高速運作且充滿高風險的環境下,安全已不僅僅是技術層面的需求,更是產業長期發展能否存續的關鍵要素。