资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
去中心化交易所Balancer遭遇2025年最具破坏性加密攻击
Balancer成为2025年最具破坏性的加密货币攻击受害者,攻击者通过精密的漏洞利用手段,在七条区块链网络上盗取约1.28亿美元资金。该攻击规避了多年来的安全审计,给DeFi生态系统带来巨大冲击。
损失规模扩大
区块链分析公司Nansen最初报告显示,11月3日凌晨发生的漏洞攻击涉及约7000万美元损失。但PeckShield安全研究人员数小时内便揭露实际损失高达1.2864亿美元,波及以太坊、Berachain、Arbitrum、Base、Sonic、Optimism和Polygon网络。
攻击者迅速转移价值2446万美元的6587枚WETH、2686万美元的6851枚osETH,以及1927万美元的4260枚wstETH至新建钱包,随后开始将被盗的流动性质押衍生品转换为以太坊。区块链分析平台Lookonchain报告称,黑客立即开始将被盗资产兑换为ETH,引发对可能通过去中心化混币器或跨链桥进行洗钱的担忧。
技术解析:攻击如何实施
该漏洞针对Balancer V2可组合稳定池中的关键缺陷,特别存在于协议的"manageUserBalance"功能中。安全研究人员指出,错误的访问检查允许攻击者绕过授权并执行未经许可的内部余额提现。
链上分析师Adi在X平台解释称:"不当的授权和回调处理使攻击者能够绕过保护机制,在互连池中进行未经授权的交换或余额操作。"协议的可组合设计(多个池间共享流动性高度交互)放大了这一漏洞,使黑客能在数分钟内快速抽干多条链上的资产。
各网络损失分布
以太坊承受最大损失,约9900万美元被盗。Berachain以1286万美元损失紧随其后,其验证者被迫暂停网络并执行紧急硬分叉以追回用户资金。其他网络损失分别为:Arbitrum 686万美元、Base 390万美元、Sonic 344万美元、Optimism 158万美元、Polygon 23.2万美元。
StakeWise迅速展开资金追回
在这场混乱中,以太坊流动性质押协议StakeWise宣布成功追回大部分被盗资金,成为罕见的成功案例。通过紧急多签交易,StakeWise DAO从攻击者钱包中成功收回价值约1900万美元的5041枚osETH和价值170万美元的13495枚osGNO。
此次追回占被盗osETH的73.5%和全部被盗osGNO代币。StakeWise确认将根据用户漏洞前的余额按比例返还资金。其余26.5%的osETH(约700万美元)已被攻击者转换为ETH且无法追回。
StakeWise在声明中强调,其核心智能合约和osETH代币仍然安全,因为漏洞仅存在于Balancer的基础设施中。成功的资金追回略微缓解了市场担忧,大量ETH涌入市场可能导致代币短期价格前景趋于稳定。
审计悖论:11次审查为何遗漏关键漏洞
Balancer遭遇攻击最令人不安的是,尽管采取了大量安全预防措施,漏洞依然存在。Balancer的智能合约曾接受四家顶级安全公司(OpenZeppelin、Trail of Bits、Certora和ABDK)的11次全面审计,最近一次稳定池审计由Trail of Bits于2022年9月完成。
知名Web3开发者Suhail Kakar指出,即使Balancer的核心金库合约经过多家独立公司审查,协议仍遭受重大破坏。该事件重新引发了加密社区关于传统审计模型是否足以应对DeFi不断变化的威胁形势的辩论。
区块链取证公司的行业专家观察到,2025年DeFi黑客攻击造成的损失已超过10亿美元,其中访问控制错误占事件近40%。Balancer案例表明,静态代码审查(即使多次进行)可能无法发现复杂互连DeFi系统中的微妙漏洞。
市场影响与社区响应
随着恐慌用户撤资,Balancer的总锁仓价值暴跌46%,从约7.7亿美元降至4.22亿美元。协议原生BAL治理代币24小时内下跌超8%至约0.91美元,尽管部分消息来源报告跌幅为较温和的5%。
以太坊价格也受到影响,11月4日ETH交易价格为3629-3714美元,较漏洞攻击前水平下降4-8%。抛售反映出市场对DeFi安全漏洞及互连协议潜在攻击的普遍不确定性。
Balancer在X平台发布声明承认事件,确认"一个可能影响Balancer v2池的漏洞"。团队强调其工程和安全团队正在高度优先调查,并将在信息可用时分享验证更新。
为追回被盗资金,Balancer提供20%白帽赏金(约2560万美元)以换取48小时内返还资产。团队在链上消息中警告称:"我们的合作伙伴高度确信将通过基础设施收集的访问日志元数据识别出你的身份",该信息涉及据称与黑客交易相关的IP地址和时间戳。
历史重演:Balancer的安全问题记录
这是Balancer迄今为止遭遇的最大安全漏洞,但远非首次。自2020年推出以来,该协议至少经历了六次重大安全事件,平均每年约一次严重漏洞。
2020年6月,Balancer在闪电贷攻击中损失50万美元,该攻击利用了协议处理Statera(STA)等通缩代币的方式。2023年8月,黑客通过精度漏洞从V2增强池中盗取约210万美元,就在Balancer披露这些池中存在"关键漏洞"一周后。
次月(2023年9月),DNS劫持攻击将用户从Balancer合法前端重定向至钓鱼网站,造成23.8万美元损失。2023年3月,Balancer间接受Euler Finance黑客攻击影响,其bbeUSD池损失1190万美元。
对DeFi安全的广泛影响
Balancer事件发生在去中心化金融的关键时刻。Chainalysis报告显示,仅2025年上半年黑客就窃取了超20亿美元加密货币,其中朝鲜国家支持的组织估计窃取16.5亿美元。
这次攻击再次引发关于DeFi协议面临的基本安全挑战的讨论。与可撤销欺诈交易或冻结账户的中心化交易所不同,去中心化平台运行于不可变的智能合约上,一旦部署便无法轻易修改以修补漏洞。
多条区块链网络采取前所未有的行动应对漏洞利用:Berachain验证者暂停网络执行紧急更新;Polygon验证者审查黑客交易;Sonic引入冻结并清零黑客账户的功能。这些干预措施在加密社区引发关于去中心化原则与实际安全需求之间矛盾的辩论。
知名加密货币评论员Haseeb在X平台指出:"小型生态系统应优先考虑安全和社区保护,而非'代码即法律'"——这是对加密行业传统理念的回应,即智能合约结果应是最终且不可逆的,即使它们源自漏洞利用。
未来展望
对Balancer而言,此次漏洞代表关键转折点。该协议经受住先前风暴并保持其作为DeFi老牌参与者的地位,尽管急剧下降,截至11月4日仍有约3.55亿美元锁定。平台继续处理大量交易量,每月约28.1亿美元,年收入约1070万美元。
然而,在1.28亿美元漏洞后重建用户信任需要的不仅是技术修复。加密社区日益要求透明度、危机期间的快速沟通,以及安全漏洞已得到全面解决的具体证据。
行业观察人士预计Balancer事件将加速对DeFi协议的监管审查,特别是在美国,当局正在制定去中心化金融监督的新框架。广泛审计未能防止此漏洞的事实可能促使监管机构要求DeFi平台提供额外保障、保险机制或责任结构。
目前,Balancer用户面临艰难抉择:是保持仓位还是撤资至更安全选择。安全研究人员继续调查漏洞的全部范围,而区块链取证团队与执法部门合作追踪被盗资金。黑客是否会接受Balancer的白帽赏金提议,或成功通过混币器和跨链桥洗钱仍有待观察。
可以确定的是,这次漏洞利用为DeFi动荡历史增添了又一个警示篇章,提醒开发者和用户:在加密尖端金融系统中,安全必须与技术本身同步快速发展。
