Balancer 漏洞導致 1.29 億美元資金被盜,這是 DeFi 領域最大的跨鏈攻擊事件之一。
- 2025年11月3日
- |
- 18:55
去中心化金融領域又遭受了一次重大打擊,業內最成熟的流動性協議之一 Balancer 遭遇了一次復雜的攻擊,導致價值約 1.29 億美元的資產被盜。
這次大規模的漏洞波及到多個區塊鏈——包括以太坊、Base、Optimism、Polygon、Sonic 和 Berachain——促使驗證者和開發者們採取緊急應對措施。
最初的鏈上
在區塊鏈上記錄和驗證的交易。
鏈上數據顯示,攻擊者迅速轉移了液體質押質押是指積極參與基於權益證明(PoS)機制的區塊鏈上的交易驗證(類似於挖礦)。 持有特定加密貨幣達到最低餘額要求的用戶可以驗證交易並獲得獎勵。 這些獎勵由網絡設定,然後發送到用戶的錢包。
“>抵押以太坊代幣遭到攻擊,這表明這是一起有組織的攻擊,而非孤立的漏洞。安全分析師報告稱,此次攻擊源自 Balancer 的 V2 金庫,智能合約權限中的一個缺陷使得黑客能夠操縱內部交易並繞過安全檢查。我們注意到 Balancer v2 池可能存在漏洞。
我們的工程和安全團隊正在高度優先地進行調查。
一旦我們掌握更多信息,我們將立即分享已核實的最新消息和後續步驟。
— Balancer (@Balancer)2025年11月3日
顯而易見的漏洞
調查人員認為,攻擊者利用惡意合約在資金池創建期間攔截並重定向金庫操作,利用了回調進程未被正確限制的漏洞。 這一疏忽導致了未經授權的代幣轉移。 流動性
能夠在不影響價格的情況下,快速將數字貨幣或代幣轉換為另一種資產或現金的能力。
流動性在餘額更新之前,資金池中的資金就會被迅速消耗殆盡,幾分鐘內就能將整個網絡中的資金耗盡。此次漏洞攻擊影響了多種代幣,包括 WETH、osETH、WSTETH、sfrxETH 和 rsETH——其中大部分都與以太坊的流動性質押生態系統相關。 區塊鏈
區塊鏈本質上是一個由區塊組成的數字鏈,但並非傳統意義上的區塊鏈。 這些“區塊”由信息比特構成,當我們提到“區塊”和“鏈”時,指的是存儲在公共數據庫中的數字數據。 區塊鏈提供了一種創新的方式,可以自動且安全地傳輸信息。 交易始於一方創建區塊,然後由網絡中成千上萬甚至數百萬台計算機進行驗證。 這個去中心化的金融交易賬本不斷發展演進,持續添加新的數據。
區塊鏈之所以具有防篡改性,是因為每條記錄都是獨一無二的,擁有各自獨立的歷史記錄。 要篡改一條記錄,就需要更改包含數百萬條記錄的整個區塊鏈。 區塊鏈基於三大核心原則:去中心化、透明性和不可篡改性。
區塊鏈追踪器,其中一個之前處於非活躍狀態鯨這些個人或實體擁有大量特定加密貨幣,經常通過其持有量影響市場趨勢。
鯨魚 錢包一種能夠安全地保存用戶公鑰和私鑰,同時允許與區塊鍊網絡進行交互的設備或應用程序。
錢包攻擊發生後,該平台突然活躍起來,在攻擊開始後不久便從 Balancer 提取了超過 700 萬美元。來自 Berachain 驗證者的緊急響應
受影響最嚴重的組織之一是Berachain,Bera基金會迅速採取行動,暫停了該網絡並啟動了緊急搶修。 叉
對網絡協議的重大更改,改變了先前區塊和交易的有效性,使其變為有效或無效。
“>fork驗證者同意暫停區塊鏈,以防止在恢復程序進行期間發生進一步的攻擊。 .dARk-mode .read-more {background-color: #343a40 !important;}社區人物那幾個去中心化金融
去中心化金融(DeFi)是指建立在公共區塊鏈上的與金融相關的去中心化應用程序(dApp)的大類。
“>DeFi包括 Ethena 在內的合作夥伴已暫時關閉了與 Balancer 基礎設施相關的借貸和橋接業務。同時,他們也聯繫了各大交易所平台,要求將與攻擊者有關的可疑地址列入黑名單,以限制被盜資金的流動。市場衝擊波及BAL、BERA和質押代幣
漏洞曝光的消息震驚了市場。 Balancer 的原生代幣 BAL 在數小時內下跌超過 10%,跌破 0.90 美元。 BERAchain 的原生代幣 BERA 也下跌了約 7%,與此同時,由於用戶爭相拋售流動性頭寸,這兩種資產的交易量都出現了大幅飆升。
與流動性質押相關的代幣——例如 LDO、RPL 和 JTO——經歷了突然的下跌。 揮發性
該術語指的是加密貨幣價格在特定時間段內偏離其平均值的程度。
“>波動性由於擔心流動性危機蔓延,以太坊價格一度下跌超過4%,跌至3686美元左右,之後在當天晚些時候趨於穩定。DeFi 安全性再次受到審查
Balancer漏洞事件再次引發了關於defi是否已準備好被機構規模採用的爭論。 儘管經過多年的審計和廣泛應用,DeFi的複雜漏洞仍然存在。 智能合約
智能合約是一種數字協議,它無需中介機構即可安全地驗證和執行合約條款。 這些合約使交易雙方能夠以透明且無爭議的方式直接進行交易——無論是金錢、財產、股票還是其他貴重物品。 理解智能合約的一個好方法是將其比作自動售貨機。 通常,要使一份合同具有法律效力,您需要拜訪律師或公證人,支付費用並最終簽署文件。 而使用智能合約,您只需將加密貨幣(例如比特幣)存入系統(就像在自動售貨機中一樣)即可執行合約。
“>智能合約仍然存在系統性風險。分析師指出,此次攻擊涉及多條鏈,凸顯了相互關聯的DeFi協議在其中一個組件出現故障時會如何放大損害。隨著調查的深入,Balancer團隊和外部審計人員正在努力追踪被盜資金並確定肇事者身份。 目前,此次黑客攻擊是2025年規模最大、技術最先進的DeFi安全漏洞之一——這也提醒我們,即使是成熟的協議也無法免受去中心化金融領域不斷演變的威脅。
