**去中心化交易所Balancer惨遭黑客攻击,成为2025年最具破坏性的加密货币攻击之一,攻击者通过复杂的漏洞,绕过多年的安全审计,耗尽了约1.28亿美元的资产,影响了七个区块链网络。在11月3日凌晨,黑客攻击初期,平衡器看似损失了约7000万美元,这数额是依据区块链分析公司Nansen的报告。然而,安全研究人员PeckShield随后揭露该攻击的真正规模:在以太坊、Berachain、Arbitrum、Base、Sonic、Optimism和Polygon网络上被盗的总额为1.2864亿美元。攻击者迅速行动,在转移6,587个WETH(价值2446万美元)、6,851个osETH(价值2686万美元)和4,260个wstETH(价值1927万美元)到新建的钱包后,开始将被盗的流动质押衍生品转换为以太坊。区块链分析平台Lookonchain报道称,黑客立即开始用被盗资产交易ETH,使人们对可能通过去中心化混合器或跨链桥洗钱表示担忧。
技术细节:攻击如何展开
该攻击针对的是平衡器V2可组合稳定池中的一个关键漏洞,特别是在协议的“manageUserBalance”功能中。根据安全研究人员的说法,不当的访问检查允许攻击者绕过授权,进行未授权的内部余额提取。链上分析师Adi在X平台上解释称,“不适当的授权和回调处理使攻击者能够绕过保护措施,从而在互相联系的池中实现未授权的交换或余额操控。”协议的可组合设计,即多个池通过共享流动性紧密交互,使得漏洞扩大,黑客可以在数分钟内迅速消耗多链资产。
StakeWise快速恢复努力
在混乱中少有的成功故事中,以太坊流动质押协议StakeWise宣布已恢复被盗资金的大部分。通过紧急多签交易,StakeWise DAO成功从攻击者的钱包中回收了5,041个osETH(约1900万美元)和13,495个osGNO(170万美元)。这些回收代表了被盗osETH的73.5%和100%的osGNO代币。StakeWise确认,恢复资金将按攻击前余额比例返还给受影响的用户。剩余26.5%的被盗osETH,价值约700万美元,已被攻击者转为ETH,无法找回。
11次审计为何未能发现致命缺陷?
最令人不安的是,尽管采取了严密安全措施,平衡器漏洞还是发生了。根据报道,Balancer的智能合约经历过11次详尽审计,由四家主要安全公司执行:OpenZeppelin、Trail of Bits、Certora和ABDK,其中Trail of Bits在2022年9月进行过最新的稳定池审计。著名Web3开发者Suhail Kakar指出,即便Balancer的核心保险柜合约由多个独立公司审查,该协议仍遭受重大突破。此次事件重新引发了加密社区内的讨论,探索传统审计模式是否能充分应对DeFi日益复杂的威胁环境。
区块链取证公司行业专家观察,2025年DeFi攻击已超过10亿美元损失,其中接入控制错误占近40%的事件。Balancer事件表明,静态代码审查即便多次进行,可能仍无法捕捉到复杂、互联DeFi系统中的微妙漏洞。
市场影响与社区回应
Balancer的总锁定价值骤降46%,从约7.7亿美元降至4.22亿美元,因惊慌的用户纷纷提现。协议的原生BAL治理代币在24小时内下降超过8%,至约0.91美元,尽管有来源报告称跌幅更为温和,仅为5%。以太坊价格也受影响,ETH在11月4日交易价格为3,629-3,714美元之间,较攻击前水平下跌4-8%。这次抛售反映出DeFi安全漏洞和相互关联协议可能遭受更多攻击引发的更广泛的市场不确定性。
Balancer通过在X平台上的声明承认了这一事件,确认其意识到“某种可能影响Balancer V2池的漏洞利用”。该团队强调,他们工程和安全团队正以优先级调查此事,并将在信息可用时分享经验证的更新。为了追回被盗资金,Balancer提供了20%的白帽奖励——约2560万美元——要求在48小时内返还资产。团队在链上消息中警告称,“我们的伙伴对你将被基础设施中收集的访问日志元数据识别出来高度自信”,暗指与黑客交易相关的IP地址和时间戳。
历史重演:Balancer动荡的安全记录
这标志着Balancer有史以来最大的一次安全漏洞,但不是首次。自2020年启动以来,该协议至少经历了六次重大安全事件,年均约一次重大漏洞。在2020年6月,Balancer因闪贷攻击损失了50万美元,该攻击利用了协议处理通缩代币如Statera (STA)的方式。2023年8月,黑客通过精度漏洞从V2提升池抽走了约210万美元,这距离Balancer披露这些池存在“重大漏洞”仅一周时间。次月的2023年9月,一次DNS劫持攻击将用户从Balancer的官方前端重定向至钓鱼网站,造成23.8万美元损失。
DeFi安全的更广泛影响
Balancer事件发生在去中心化金融的关键时刻。Chainalysis报告称,仅在2025年上半年便有超过20亿美元的加密货币被盗,其中北韩国家支持的团体估计负责16.5亿美元。此次攻击引发了关于DeFi协议基本安全挑战的新讨论。与能够撤销欺诈交易或冻结账户的中心化交易所不同,去中心化平台在不可更改的智能合约上运行。 合约一旦部署,就无法轻易修改以修补漏洞。
一些区块链网络采取了前所未有的行动,来应对这一漏洞。Berachain验证者停止了他们的网络以进行紧急更新。Polygon验证者审查了黑客交易。Sonic引入了冻结并清零黑客账户的功能。这些干预措施在加密社区中引发了关于去中心化原则与实际安全需求之间张力的讨论。
著名的加密评论员Haseeb在X上观察到,“较小的生态系统应优先考虑安全性和社区保护,而非‘代码即法律’”——这指的是加密行业的传统观点,即智能合约的结果应是最终和不可逆的,即便是因为漏洞而导致的结果。
最后思考
对于Balancer而言,这次漏洞代表了一个关键的转折点。该协议在之前的风暴中经受住了考验,并保持其作为DeFi中成熟参与者之一的位置,尽管急剧下降,截至11月4日仍有大约3.55亿美元被锁定。平台继续处理大量交易,每月交易量约为28.1亿美元,年度收入约为1070万美元。
然而,在经历了一次1.28亿美元的漏洞后,重新建立用户信任需要的不仅仅是技术修复。加密社区越来越要求透明度、危机期间的迅速沟通,以及对安全漏洞已得到全面解决的具体证据。
行业观察者预计,Balancer事件将加速对DeFi协议的监管审查,特别是在美国,相关当局正在制定新的去中心化金融监管框架。广泛的审计仍不足以防止此次漏洞的事实,可能会促使监管机构要求DeFi平台提供额外的安全保障措施、保险机制或责任结构。
目前,Balancer用户面临着是否保持其头寸或撤退至更安全替代方案的艰难决定。安全研究人员继续调查漏洞的整体范围,而区块链取证团队与执法机构合作追踪被盗资金。黑客是否会接受Balancer的白帽奖金提议,或成功通过混币器和跨链桥洗钱,还有待观察。
可以确定的是,这次漏洞事件为DeFi动荡的历史增添了另一则警示篇章,提醒开发人员和用户,在加密前沿的金融系统中,安全性必须随着技术一起迅速发展。