万圣节的恐慌来得有点晚,加密货币行业却未能幸免。
去中心化金融(DeFi)协议 平衡器(BAL) 遭遇了 2025 年最大的加密货币黑客攻击之一,据包括区块链分析师在内的多家机构的数据显示,其交易池中超过 1.16 亿美元的资金被盗。Lookonchain.
Balancer 确认的11月3日下午3:20(UTC),有人在X(前身为Twitter)上发文,称“Balancer v2矿池可能存在潜在漏洞”:
“我们已注意到 Balancer v2 资金池可能存在安全漏洞。我们的工程和安全团队正在高度重视并进行调查。一旦获得更多信息,我们将立即分享已确认的更新和后续步骤。”
几个小时内,区块链分析公司 Lookonchain 就发布了相关报告。说损失已经大幅增加:
“简直太疯狂了——Balancer漏洞被盗的总金额现在已经飙升至1.166亿美元。”
漏洞利用过程如何展开
DeFi 研究员 Adi (@AdiFlips on X) 分享的初步取证分析概述一系列复杂的智能合约操作:
“此次攻击的目标是 Balancer 的 V2 金库和流动性池,利用了智能合约交互中的一个漏洞。……不当的授权和回调处理使得攻击者能够绕过安全防护措施。这导致攻击者可以在相互连接的资金池中进行未经授权的资金交换或余额操纵,并在几分钟内迅速耗尽资产。”
据Adi称,攻击者部署了一个恶意合约,该合约在资金池初始化期间操纵金库调用,将窃取的资金通过以太坊交易转移出去。随后,这些资产被整合到一个新钱包中,很可能是通过混币器或桥接器进行洗钱。
调查人员表示,Balancer 的可组合式设计(其中资金池之间深度交互以实现跨资产流动性)放大了这一漏洞。没有证据表明私钥遭到泄露;此次安全漏洞完全是智能合约攻击造成的。
PeckShield、Nansen 和其他区块链安全团队正在协助 Balancer 的内部工程师追踪资金流向。
推荐文章
解释简单来说,黑客发现了一个编码缺陷这使得他们能够欺骗 Balancer 的系统执行未经授权的交易。这让他们能够在交易池之间转移资金,并在几分钟内盗取代币。
攻击者随后将窃取的资金转移到新的加密钱包(相当于创建新的银行账户),以增加追踪难度。
更多新闻:
被盗的物品
粗略估计显示:
- 以太坊主网:7000万美元
- Base & Sonic:合计 700 万美元
- 其他连锁店:200万美元以上
- 主要资产:WETH、wstETH、osETH、frxETH、rsETH、rETH
- 总计:1.1亿至1.16亿美元
社区响应
Ledger首席技术官Charles Guillemet敦促立即行动:
“Balancer v2 资金池似乎遭到了攻击,超过 1 亿美元被盗。如果您在这些资金池中有资金,建议您尽快提取。同时,也建议您检查一下您的授权,撤销那些不必要的授权。请注意安全。”
Adi 也表达了同样的谨慎态度,建议用户从 Balancer V2 资金池中提现,通过 Revoke 或 DeBank 撤销代币授权,并监控钱包中的可疑交易。
平衡器是什么?
Balancer 于 2020 年 3 月推出,是一个基于以太坊的自动做市商 (AMM) 和流动性协议。它允许用户创建可定制的指数式流动性池,自动重新平衡代币权重。其于 2021 年 5 月发布的 V2 版本引入了统一的“金库”系统,以提高 gas 效率和可组合性——而这恰恰是攻击者利用的特性。
该协议目前保障了超过 4.51 亿美元的总锁定价值 (TVL),根据到DefiLlama。
平衡器有面对过去也发生过一些规模较小的攻击事件,包括 2020 年的 90 万美元闪电贷攻击和 2023 年的 200 万美元漏洞披露,但没有一起达到如此规模。
值得注意的是,加密货币犯罪在2025年屡创新高,仅上半年就被盗金额高达21.7亿美元——Chainalysis 指出,这一数字出现了激增。呼叫“迄今为止最具破坏性的一次。”朝鲜对 Bybit 钱包发起的 15 亿美元黑客攻击造成了大部分损失,但针对个人钱包的攻击如今已占所有盗窃案的近四分之一,这反映出一种危险的新趋势。如果这种趋势持续下去,仅从服务中被盗的加密货币到年底就可能超过 43 亿美元。
