區塊客 blockcast
總鎖定價值(TVL)超過 7.5 億美元的 DeFi 協議 Balancer,今(3)日驚傳遭遇安全漏洞攻擊。據稱,駭客已成功竊取超過 1.1 億美元的加密貨幣,且失竊資產正被轉移至新的錢包地址。
根據鏈上追蹤平台 Lookonchain 數據顯示,Balancer 的主要合約地址「0xBA1…BF2C8」稍早出現多筆異常轉帳,資產被轉入外部錢包,涉及:
綜合估算,異常轉出的總額已超過 1.16 億美元,這場攻擊似乎針對 Balancer 的核心智能合約「金庫(Vault)」V2 版本,並波及 Sonic 、 Polygon 和 Base 等多個網路上的資金池。
受消息影響,Balancer 原生代幣 $BAL 今(3)日重挫 8.2%,寫稿時報 0.9107 美元,市值蒸發數百萬美元。
對此,Balancer 官方稍早發文表示,團隊已注意到 Balancer v2 資金池可能遭受駭客攻擊,並已將這起事件列為「最高優先等級」處理,正全力展開追查。
We’re aware of a potential exploit impacting Balancer v2 pools.
Our engineering and security teams are investigating with high priority.
We’ll share verified updates and next steps as soon as we have more information.
— Balancer (@Balancer) November 3, 2025
根據區塊鏈安全工具 Decurity 的分析,這次駭客攻擊得手,源於 Balancer 的「manageUserBalance」函數中存在邏輯缺陷。
具體來說,問題根源在於「validateUserBalanceOp」的設計缺陷,該函式原本應確認操作發起者(msg.sender)與用戶指定的 op.sender 是否一致,但邏輯錯誤導致攻擊者能以 UserBalanceOpKind.WITHDRAW_INTERNAL(內部提領操作)的方式,在未經授權的情況下「繞過權限」,直接從合約中轉出資金。
鏈上數據顯示,駭客地址已開始將竊取來的資產進行整合。市場擔憂,這些巨額資金可能會透過混幣器或跨鏈橋進行洗錢,進一步增加追蹤難度。
Balancer V2 的核心設計是將所有流動性池的資金,集中存放在單一的智能合約—— 金庫(Vault)中。這種設計將代幣會計(token accounting)與資金池邏輯(pool logic)分離,旨在讓新的資金池更容易、更安全地被創建。
然而,這次金庫被攻破,似乎對 Balancer 上的衍生服務產生了連鎖反應。作為 Balancer 的分叉項目,Beets Finance 已證實受到影響,損失金額超過 300 萬美元。
根據 DefiLlama 數據,目前仍有超過 6000 萬美元的資產鎖定在 Balancer V2 的服務中,分析師警告,如果這些衍生協議沒有額外的安全措施來減輕風險,一旦「母合約」(即 Balancer 金庫)遭到攻擊,自身的資金也面臨被耗盡的潛在風險。
〈智能合約存在「致命漏洞」!Balancer 驚傳遭駭,損失逾 1.16 億美元資產〉這篇文章最早發佈於《區塊客》。
『新聞來源/區塊客 blockcast https://blockcast.it/』
發佈者對本文章的內容承擔全部責任
在投資加密貨幣前,請務必深入研究,理解相關風險,並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。
暢行幣圈交易全攻略,專家駐群實戰交流
▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群)
不管是新手發問,還是老手交流,只要你想參與加密貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!
上一篇
下一篇
