根据区块链安全公司Cyvers首席执行官Deddy Lavid的说法，此次黑客攻击被认为是自2025年以来最为复杂的一次网络攻击之一。

去中心化金融（DeFi）协议Balancer背后的团队于周三发布了一份初步的事后调查报告，详细说明了导致价值1.16亿美元资金被盗的系统漏洞与攻击方式。

报告显示，攻击发生在本周一，黑客利用复杂的代码漏洞攻破了Balancer v2的稳定池（StablePool）和可组合稳定池（Composable Stable Pool v5），而其他类型的池未受到影响。

黑客采用了BatchSwaps的组合功能——允许在单一交易中同时执行多项操作，包括闪电贷（短期借贷，借入和偿还均在同一交易中完成）——并利用影响稳定池中EXACT_OUT交换的向上舍入函数漏洞，从而窃取资金。

通常情况下，舍入函数会在代币价格作为输入参数时进行向下舍入处理。然而，黑客利用操纵这些舍入值的漏洞，结合BatchSwap的操作，从稳定池中抽取资金。团队指出：

“在许多情况下，被盗资金在被提取之前被存放在Vault内部的余额中，待后续交易中再被提取。”

此次攻击提醒大家，暴露在公共网络的热钱包、流动性池以及链上资金存在持续不断的网络安全威胁，促使加密货币用户和区块链开发者在资金保护方面要加强警惕。

Balancer在行业安全应对中的表现

据Cointelegraph报道，黑客可能是技术熟练的专业人士，他们在发动攻击前已经准备了数月时间，利用多次0.1以太坊（ETH）的Tornado Cash存款，为掩盖交易痕迹提供资金，试图躲避追踪。

在此次事件中，Balancer与专业的网络安全合作伙伴合作，成功冻结或收回部分被盗资金，包括价值约1900万美元的5041枚StakeWise质押的以太坊（oSETH），以及价值200万美元的13495枚osGNO代币。

团队已暂停所有受影响的池，且禁止创建新的“易受攻击”的池，以确保系统的安全，修复完成之前不进行风险操作。

此外，Balancer还向黑客和道德黑客（白帽子）提供了20%的赏金激励，鼓励他们归还被盗资金，但截至目前尚未有人领取该赏金。

相关报道：ZKsync创始人提出通过治理代币改革，提升其“经济效用”以增强网络价值。