Balancer V2漏洞導致損失超過1.16億美元，多鏈協議受害

原文標題：《老牌 DeFi 淪陷： Balancer V2 合約漏洞，超 1.1 億美元資產被盜》

原文作者：Wenser，Odaily

11 月 3 日，老牌 DeFi 協議 Balancer 爆出超過 7,000 萬美元資產被盜。隨後，該消息得到多方證實，且被盜資金規模不斷上升。截至撰稿時，Balancer 被盜資產金額已增加至超過 1.16 億美元。Odaily 將於本文對此事予以簡要分析。

Balancer 被盜細節：損失資金超 1.16 億美元，主因為 v2 池智能合約漏洞

根據鏈上資訊，Balancer 攻擊者目前盜取資金規模已突破 1.16 億美元，主要被盜資產包括 WETH、wstETH、osETH、frxETH、rsETH、rETH，分布於 ETH、Base、Sonic 等多條鏈上，其中：

· Ethereum 鏈上被盜資產：近 1 億美元左右；

· Arbitrum 鏈上被盜資產：近 800 萬美元；

· Base 鏈上被盜資產：近 395 萬美元；

· Sonic 鏈上被盜資產：超 340 萬美元；

· Optimism 鏈上被盜資產：近 157 萬美元；

· Polygon 鏈上被盜資產：約 23 萬美元。

加密 KOL Adi 發文表示，初步調查顯示，該攻擊主要針對 Balancer 的 V2 金庫和流動性池，利用了智能合約互動中的漏洞。鏈上調查人員指出，一個惡意部署的合約在流動性池初始化期間操縱了 Vault 調用。不正確的授權和回調處理使攻擊者能夠繞過保護措施，這使得互連流動性池之間能夠進行未經授權的 Swap 兌換或餘額操縱，從而在幾分鐘內快速盜取資產。

根據現有資訊來看，並不存在私鑰洩露，這是一個純粹的智能合約漏洞。

審計機構 kebabsec 審計師、citrea 開發者 @okkothejawa 也發文表示，「（@moo9000 提及的檢查錯誤）可能不是根本原因，因為在所有『manageUserBalance』調用中 ops.sender == msg.sender。安全漏洞可能發生在創建提取資產的合約之前的交易當中，因為它導致了 Balancer 金庫中的一些狀態變化。」

Balancer 官方也對外回應表示：「官方團隊已知曉影響 Balancer v2 池的潛在漏洞。我們的工程和安全團隊正在高度優先進行調查。一旦獲得更多資訊，我們將立即分享經過驗證的更新和後續步驟。」

而存在潛在資產受損風險的 Berachain 也第一時間做出了自己的回應。Berachain 基金會發文後，Berachain 創始人 Smokey The Bera 對外表示，「Bera 節點組已經主動暫停了公鏈運行，以防止影響 BEX（主要是 USDe 三池）的 Balancer 漏洞。

· 讓 Ethena 團隊禁用 Bera 橋接

· 借貸市場禁用/暫停 USDe 存款

· 暫停 HONEY 代幣鑄造及兌換

· 與 CEX 等溝通，確保駭客地址被列入黑名單

我們的目標是盡快收回資金並確保所有 LP 的安全。Berachain 團隊將在準備就緒後立即向相關節點驗證者和服務提供商發布二進位文件（由於該池包含非原生資產，因此涉及一些插槽重構等，而不僅僅是修改 Bera 代幣餘額）。」

Balancer 被盜，最緊張的人是加密巨鯨

作為老牌 DeFi 協議，Balancer 的用戶無疑是此次被盜事件最為直接的受影響者，對於現在的用戶來說，可以做的事情包括：

· 從 Balancer v2 池中撤出資金，避免損失擴大；

· 撤銷授權：使用 Revoke、DeBank 或 Etherscan 取消 Balancer 地址的智能合約權限，避免潛在的安全風險；

· 保持關注：密切注意 Balancer 攻擊者的下一步動作以及是否會對其他 DeFi 協議造成連環影響。

此外，本次被盜事件中有一個沉睡 3 年的加密巨鯨吸引了市場的注意。

據 LookonChain 監測，某個休眠了 3 年的加密巨鯨 0×0090 在 Balancer 平台漏洞發生後剛剛甦醒，其急於從 Balancer 中提取自己的 650 萬美元相關資產。

後續進展：駭客開始代幣兌換模式

據鏈上分析師余燼監測，Balancer 被盜事件的駭客已經開始嘗試把諸多流動性質押代幣（LST）兌換為 ETH，此前，其曾把 10 osETH 兌換成 10.55 ETH。

鏈上資訊顯示，駭客正通過 Cow Protocol 不斷地將多條鏈上的被盜資產兌換為 ETH、USDC 等資產。目前來看，這些被盜資產追回的希望比較渺茫。

後續，Balancer 能否及時找到協議合約漏洞並盡快追回被盜資產或提供對應的解決方案，Odaily 將持續跟進。