资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
去中心化金融协议Balancer遭遇本季度规模最大的DeFi攻击事件之一。链上数据分析平台Nansen数据显示,攻击者最初将价值约7090万美元的资产转移至新钱包,随后调查人员确认总被盗金额已飙升至约1.166亿美元。
攻击手法分析
首波转移的代币包括6,850枚osETH、6,590枚WETH和4,260枚wstETH,这些资产在几分钟内相继转入攻击者控制的新地址。截至发稿时,Balancer尚未发布完整的事后分析报告,但团队已确认此次攻击针对其V2可组合稳定池。
链上数据表明,攻击者利用了Balancer V2金库与流动性池的漏洞,特别是与协议处理智能合约交互方式相关的缺陷。调查人员指出,攻击者部署了恶意合约,在池初始化阶段操纵金库调用,从而绕过Balancer常规安全机制。该漏洞源于授权与回调处理不当,使得攻击者能在互连池之间执行未经授权的兑换和余额操纵。
闪电式资金转移
此次攻击并非缓慢渗透,而是在短时间内完成。攻击者通过串联交易在Balancer可组合架构中进行交互,数分钟内多个资金池即被掏空。以太坊主网关键交易(交易哈希:0xd1...8569)将数百万美元资金转入新钱包,随后资金被整合并疑似流向混币器或跨链桥以掩盖踪迹。
可组合性风险凸显
Balancer的可组合架构是其核心创新之一,允许多个流动性池动态交互。但这种灵活性也增加了风险——当系统某部分存在缺陷时,可能引发多个互连池的连锁反应。本次事件中,攻击者正是利用这种互连池逻辑,通过递归兑换在一次协同攻击中抽干多个资金池的流动性。
过去类似设计漏洞曾影响其他自动化做市商(AMM),特别是那些处理通缩代币或严重依赖池再平衡机制的协议。本次事件非私钥泄露所致,而是纯粹的智能合约漏洞利用,再次表明即使经过审计的DeFi协议仍面临可组合性驱动的风险。
资产损失概况
根据Nansen与链上分析师汇总数据,主要被盗代币包括WETH、wstETH、osETH、frxETH、rsETH和rETH,所有受影响网络的总损失约1.1亿至1.16亿美元。CoinMarketCap数据显示,攻击发生时Balancer(BAL)交易价格约为3.38美元,漏洞曝光后小幅下跌。
官方响应措施
事件发生后,Balancer团队在社交平台发布官方声明确认攻击事件。由于受影响资金池已在链上运行数年,多数已超出暂停窗口期而无法及时冻结。可暂停的池随后被转入恢复模式。团队强调V3池及其他非可组合池未受影响。
该协议重申对安全与透明度的承诺,指出其长期开展审计与漏洞赏金计划以鼓励独立测试。同时发布欺诈警报,提醒用户警惕黑客事件后流传的虚假安全信息。
安全建议
专家建议Balancer V2池用户立即采取以下措施:
1. 紧急撤离:从Balancer V2池中提取流动性,特别是仍标记为存在漏洞的池;
2. 撤销授权:使用授权撤销工具取消与Balancer地址关联的合约权限;
3. 监控钱包:通过区块链浏览器持续关注地址异常活动;
4. 跟踪动态:关注权威安全账户获取最新验证信息。
行业启示
该事件凸显DeFi可组合性的双刃剑特性——既能实现强大集成,也会放大协议间风险。团队与顶级安全研究人员的快速响应展现出遏制事态与保持透明的决心,但完全恢复可能需要时间。
随着取证数据不断浮现,事件再次警示:DeFi仍是创新与风险并存的实验前沿领域。
