去中心化交易所 Balancer 遭遇 2025 年最嚴重的加密貨幣駭客事件之一,攻擊者利用高明手法在七條鏈上掏空約 1.28 億美元,被攻破的安全審計令 DeFi 生態震驚。
根據區塊鏈分析公司 Nansen 的說法,11 月 3 日凌晨事件剛發生時,損失金額約為 7,000 萬美元。幾小時後,PeckShield 安全專家揭露實際規模:攻擊遍及 Ethereum、Berachain、Arbitrum、Base、Sonic、Optimism、Polygon 七條鏈,總損失達 1.2864 億美元。
駭客行動極快,將 6,587 WETH(價值 2,446 萬美元)、6,851 osETH(2,686 萬美元)、4,260 wstETH(1,927 萬美元) 轉入新錢包,開始將被竊的流動質押衍生品兌換成以太坊。有區塊鏈分析平台 Lookonchain 指出,駭客立即將贓款換為 ETH,引發外界對去中心化混幣器及跨鏈橋可能成洗錢管道的擔憂。
技術分析:漏洞如何被利用
這次攻擊針對 Balancer V2 組合穩定池中的關鍵漏洞,特別是協議的「manageUserBalance」功能。安全人員指出,該功能的 權限檢查存在缺陷,駭客得以繞過授權機制,非法提現內部餘額。
鏈上分析師 Adi 在 X 上說明:「授權及回呼處理不當,駭客可繞過保護機制,跨池進行未經授權的兌換或操控餘額。」Balancer 複合式設計、多池高度交互共享流動性,進一步放大了漏洞,駭客能於數分鐘內在多鏈跨池盜竊大量資產。
Ethereum 損失最重,約 9,900 萬美元被竊。Berachain 損失約 1,286 萬美元,該鏈還一度 緊急暫停並分岔搶救用戶資產。Arbitrum 為 686 萬美元、Base 390 萬美元、Sonic 344 萬美元、Optimism 158 萬美元、Polygon 遭竊 23.2 萬美元。
StakeWise 緊急資產挽回
在混亂中罕見傳來好消息:以太坊流動質押協議 StakeWise 宣布透過緊急多簽操作,DAO 找回 5,041 osETH(約 1,900 萬美元) 及 13,495 osGNO(170 萬美元),這部分是來自駭客錢包。
這次搶救成功追回 73.5% 被竊 osETH,以及100% osGNO 代幣。StakeWise 保證追回款項將依受害者攻擊前餘額按比例發還。剩下的 26.5% osETH(約 700 萬美元)已被駭客兌換成 ETH,無法收回。
StakeWise 強調,其核心智能合約及 osETH 代幣本身安全無慮,漏洞僅存在於 Balancer 基礎設施。資產追回後降低了 ETH 大量拋售的市場恐慌,有助於穩定短線價格。
審計悖論:11 次審查仍漏關鍵漏洞
最令人不安的是,儘管 Balancer 智能合約曾由四大安全公司 OpenZeppelin、Trail of Bits、Certora、ABDK 進行 11 次完整審計,最新審計還在 2022 年 9 月由 Trail of Bits 針對穩定池完成,但漏洞依然被漏掉。
知名 Web3 開發者 Suhail Kakar 指出,即使多間獨立公司都審查過核心合約,協議仍遭嚴重入侵。此事令加密社群質疑:傳統審計模式是否真能應對 DeFi 持續演變的攻防風險。
區塊鏈鑑證專家觀察,2025 年 DeFi 攻擊損失已突破 10 億美元,單是權限管控失誤占 4 成。Balancer 案例說明即使頻繁靜態審計,面對複雜互依環境,細微漏洞還是可能被忽略。
市場衝擊與社群回應
Balancer 鎖倉總價值暴跌 46%,由 7.7 億減至 4.22 億美元,許多用戶恐慌撤資。協議原生 BAL 治理幣 24 小時內下跌逾 8%,跌至 0.91 美元,部分數據顯示跌幅為 5%。
ETH 同步受創,11 月 4 日行情在 3,629–3,714 美元間震盪,跌幅達 4~8%。拋售反映出市場對 DeFi 協定安全隱憂、連鎖攻擊風險的普遍疑慮。
Balancer 已於 X 平台發聲明,承認「潛在攻擊影響 V2 流動池」,技術團隊高度優先調查,承諾有最新查證進展會即時公告。
為追回資產,Balancer 開出 20% 白帽賞金(約 2,560 萬美元),限 48 小時內歸還即發放。官方更在鏈上警告:「我們合作夥伴通過基礎設施日誌收集的元數據,高度有信心能查明駭客身份」,指向與駭客交易相關的 IP 和時間戳。
一再重演:Balancer 困難重重的安全史
這雖是 Balancer 有史以來最大規模攻擊,卻並非頭一次。自 2020 年上線以來,平均每年一件重大安全事件,至少六件紀錄。
2020 年 6 月,Balancer 因閃電貸攻擊失去 50 萬美元,源於協議如何處理 Statera(STA)等通縮型代幣。 2023 年 8 月,駭客自 V2 加強池利用精度漏洞盜走約 210 萬美元,案發前一週官方才公告過這批池存有「嚴重漏洞」。
下一個月,2023 年 9 月再次發生 DNS 劫持攻擊,用戶被導向詐騙網站,共損失 23.8 萬美元。 2023 年 3 月 Euler Finance 攻擊波及 Balancer,bbeUSD 池損失 1,190 萬美元。
DeFi 安全的更廣泛啟示
Balancer 事件正值 DeFi 關鍵時刻。Chainalysis 指出,2025 上半年加密被盜金額超過 20 億美元,北韓國家行動組負責其中約 16.5 億美元。
這起攻擊讓圈內人士再次關注 DeFi 安全挑戰。本質上和中心化交易所可以凍結資金或逆轉交易不同,去中心化平台采用不可更改的智能合約......
contracts that, once deployed, cannot be easily modified to patch vulnerabilities.
一旦部署後,無法輕易修改以修補漏洞的合約。
Several blockchain networks took unprecedented action in response to the exploit. Berachain validators halted their network to perform emergency updates. Polygon validators censored hacker transactions. Sonic introduced functionality to freeze and zero out the hacker's account. These interventions sparked debate within the crypto community about the tension between decentralization principles and practical security needs.
多個區塊鏈網路針對這次漏洞事件採取了前所未有的行動。Berachain 的驗證者暫停了其網路以進行緊急更新。Polygon 的驗證者審查了駭客的交易。Sonic 則新增了凍結並清空駭客帳戶的功能。這些干預措施在加密貨幣社群中引發了關於去中心化原則與實際安全需求之間張力的爭論。
Prominent crypto commentator Haseeb observed on X that "smaller ecosystems should prioritize safety and community protection over 'code is law'" — a reference to the crypto industry's traditional ethos that smart contract outcomes should be final and irreversible, even when they result from exploits.
知名加密評論員 Haseeb 在 X 上指出,「較小的生態系應優先考慮安全性與社群保護,而不是『程式即法律』」,這呼應了加密產業傳統理念,即智慧合約的結果應當最終且不可逆轉,即使這些結果是由漏洞利用造成。
Final thoughts
最後想法
For Balancer, this breach represents a critical inflection point. The protocol had weathered previous storms and maintained its position as one of DeFi's established players, with approximately $355 million still locked as of November 4 despite the dramatic decline. The platform continues to process significant trading volume, handling around $2.81 billion monthly and generating approximately $10.7 million in annual revenue.
對 Balancer 而言,此次資安事件是一個重要的轉捩點。過去這個協議曾歷經風暴,依舊維持其 DeFi 主要項目的地位,截至 11 月 4 日,儘管資金大幅流失,仍有約三億五千五百萬美元鎖定於平台上。該平台依然持續處理可觀的交易量,每月交易額約 28.1 億美元,年營收約 1,070 萬美元。
However, rebuilding user trust after a $128 million exploit will require more than technical fixes. The crypto community increasingly demands transparency, rapid communication during crises, and concrete evidence that security vulnerabilities have been comprehensively addressed.
然而,在發生高達 1.28 億美元的漏洞事件後,僅靠技術上修補尚不足以重建用戶信任。加密社群越來越要求項目方展現透明度、在危機時迅速溝通,並提出全面解決安全漏洞的明確證據。
Industry observers expect the Balancer incident to accelerate regulatory scrutiny of DeFi protocols, particularly in the United States where authorities are developing new frameworks for decentralized finance oversight. The fact that extensive auditing proved insufficient to prevent this breach may prompt regulators to require additional safeguards, insurance mechanisms, or liability structures for DeFi platforms.
產業觀察家認為,這次 Balancer 的事件預期會加速 DeFi 協議的監管審查,尤其是在美國,相關當局正逐步制定新的去中心化金融監管框架。值得注意的是,即便進行了多次審計仍未能阻止這次攻擊,這可能促使監管機構要求 DeFi 平台增設更完善的防護措施、保險機制或法律責任架構。
For now, Balancer users face difficult decisions about whether to maintain their positions or withdraw to safer alternatives. Security researchers continue investigating the full scope of the vulnerability, while blockchain forensics teams work with law enforcement to track the stolen funds. Whether the hacker will accept Balancer's white-hat bounty offer or successfully launder the funds through mixers and cross-chain bridges remains to be seen.
目前 Balancer 用戶面臨是否繼續持有資產或撤出至更安全平台的困難抉擇。安全研究人員持續調查這次漏洞的全部範圍,而區塊鏈鑑識團隊則配合法律單位追蹤被竊資金。至於駭客會否接受 Balancer 提出的白帽懸賞,或是成功透過混幣器以及跨鏈橋洗錢,尚未可知。
What's certain is that this exploit has added another cautionary chapter to DeFi's turbulent history, reminding both developers and users that in crypto's cutting-edge financial systems, security must evolve as rapidly as the technology itself.
可以確定的是,這次事件為 DeFi 動盪不安的歷史再添一筆警示,提醒開發者與用戶,在加密世界的前沿金融系統中,安全性必須跟上技術發展的步伐。