Balancer遭駭超過1.2億資金，你該怎麼做？

Chainfeeds 導讀：

目前其總被盜金額為 1.2864 億美元，攻擊仍在繼續。

文章來源：

Foresight News

觀點：

Foresight News：11 月 3 日下午，老牌 DeFi 協議 Balancer 遭受重大安全漏洞攻擊。攻擊者透過操縱協議的核心智能合約，在短短幾小時內，從多個流動性池中轉移價值超過 1.1 億美元的加密資產，直接將資金從 Balancer 的金庫轉入控制錢包。根據 DeBank 數據，以太坊生態被盜金額高達 9985 萬美元，Arbitrum 鏈損失 795 萬美元，Base 上被盜 394 萬美元，Sonic 約 340 萬美元，Optimism 鏈 156 萬美元。慢霧追蹤結果顯示，總被盜金額進一步上升至 1.2864 億美元，增加了 Berachain 生態的 1286 萬美元。受此影響，BAL 幣價跌至 0.9 美元附近，24 小時跌幅超 8%。事件發生後，Berachain 官方暫停了 HONEY 鑄造及 BEX 池子與金庫功能，並協調驗證節點中止網路運行，以便核心團隊執行緊急硬分叉，修復與 Balancer V2 相關的漏洞。消息一出，沉寂三年的鯨魚地址 0x0090 立即從 Balancer 中撤資，顯示恐慌情緒迅速擴散。這起事件不僅揭示了 Balancer V2 在存取控制上的根本性缺陷，也讓跨鏈部署架構成為放大風險的導火線，涉及以太坊、Base、Polygon、Sonic 等多個網路。截至發稿時，攻擊仍在持續，安全團隊正試圖凍結相關地址。Balancer 成立於 2020 年，由 Balancer Labs 開發，是早期 DeFi 生態的核心 AMM（自動化做市商）協議之一，主打可自訂的多資產流動性池設計。與 Uniswap 等單一資產對比機制不同，Balancer 允許用戶設定多種資產權重組合，提高資本利用率。其在 2021 年推出的 V2 版本引入提升池（Boosted Pools）與金庫系統（Vault），試圖將池內閒置資金導向收益渠道，減少滑點、提升效率。然而，這一複雜架構也增加了存取控制和外部依賴的風險。分析指出，本次攻擊的根本原因在於金庫合約的存取控制失效。攻擊者利用閃電貸機制，偽造權限從提升池中提取資產，繞過授權檢查後直接將資金轉移至外部地址 0xAa760D53541d8390074c61DEFeaba314675b8e3f。鏈上數據（交易哈希 0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569）顯示，攻擊在數分鐘內完成多筆轉帳，涉及 WETH、osETH、wstETH、frxETH、rsETH、rETH 等主流 ETH 衍生品。這種漏洞利用方式與 2022 年 Nomad Bridge 事件相似，皆因存取控制邏輯被繞過。Balancer 的跨鏈架構使得影響範圍更廣，放大了損失規模。 此次事件並非孤立，而是 Balancer 長期安全隱患的集中爆發。自 2021 年 V2 上線以來，該協議雖經多輪審計、模糊測試與形式驗證，但仍頻繁暴露漏洞。2021 年 6 月曾因智能合約問題損失 50 萬美元，2023 年 8 月遭遇 DNS 劫持損失 27 萬美元，而在 2025 年 10 月又發生過與 “率提供者”（rate providers）操縱相關的小規模事件。多次事故顯示，Balancer 在存取控制與外部依賴上結構性脆弱。此次攻擊讓人重新審視 DeFi 協議的老化風險 —— 運行多年且頻繁被分叉的程式碼庫，在複雜多鏈環境下更易成為駭客的靶心。Flashbots 戰略總監兼 Lido 顧問 Hasu 發文指出，「Balancer V2 自 2021 年上線以來，是被最頻繁 fork 的智能合約之一。每當這種核心協議被攻破，都會讓整個 DeFi 行業的採用進程倒退 6 至 12 個月。」目前，Balancer 團隊已確認 V2 池存在漏洞，正在聯合安全公司調查事件。