"Balancer遭受重大安全漏洞，1.28亿美元资产失窃，触发DeFi信任危机"

来源：cointelegraph.com时间：2025-11-04 18:30:40

本周一，以太坊DeFi协议Balancer遭遇重大智能合约漏洞攻击，损失超1.28亿美元，成为2025年至今最大加密盗窃案。多组V2金库和流动性池被掏空，攻击手法涉及复杂交易与闪电贷，引发社区信任危机。

本周一，以太坊DeFi协议Balancer遭遇重大智能合约漏洞攻击，损失超过1.28亿美元，成为自2025年以来最大的加密资产失窃事件。多个V2金库和流动性池被快速清空，攻击手法涉及复杂交易和闪电贷技术，引发社区对于安全和信任的担忧。

分析

2025年11月3日（周一），以太坊上的领先去中心化金融（DeFi）协议Balancer出现严重安全漏洞，初步统计损失已超过1.28亿美元，成为今年以来最大规模的DeFi安全事件之一。

链上数据显示，多组Balancer V2的金库合约和流动性池在短时间内被攻击者迅速清空。通过一系列精心设计的交易，攻击者将盗取的资产转移到新创建的钱包地址，随后逐步集中转移，疑似利用混币服务或跨链桥实现洗钱操作。

初步分析表明，攻击者利用了Balancer V2的金库与流动性池之间存在的交互漏洞，在池初始化阶段部署恶意合约，操控Vault的调用逻辑。在此过程中，授权验证和回调机制存在缺陷，使得攻击者绕过安全检查，实施未授权的资产交换和余额操控，迅速抽取资金。

相关关键交易（哈希：0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569）已在以太坊主网确认追踪。多家链上分析机构（如PeckShield和Nansen）已介入取证，目前确认这是一场纯粹的智能合约漏洞攻击，并非私钥泄露事件。

事件发生数小时后，分析机构报告，攻击范围已扩大至多个与Balancer协议兼容或分叉的网络。截至目前，损失总额已达到约1.28亿美元，具体分布如下：

以太坊主网：约9900万美元
Berachain：约1280万美元
Arbitrum：约680万美元
Base：约390万美元
Sonic：约340万美元
Optimism：约158万美元
Polygon：约23.2万美元

部分小型网络的损失比例尤为惊人。例如，Sonic的TVL（总锁仓价值）约为1.5亿美元，此次被盗金额占比约为2%。令人担忧的是，攻击似乎尚未停止，仍在持续进行中。

链上分析师余烬在社交平台X（前Twitter）上表示，流动性质押项目StakeWise已通过一次合约调用成功追回了5041枚osETH，价值约1930万美元，暂时降低了部分损失。然而，超过一半的被盗资产已被转移到以太坊资产中，风险依然存在。

业内人士指出，尽管Balancer的“组合设计”极大提高了协议的弹性，但复杂的池之间交互也增加了潜在的攻击面。本次事件与以往的AMM（自动化做市商）攻击手法类似，多发生在代币回调机制和重平衡逻辑上存在漏洞的环节。

Balancer官方回应有限，社区信心受挫

事件发生后，Balancer官方仅在X平台发布了一份声明，称：“我们已获悉Balancer V2流动性池潜在受攻击的情况。技术和安全团队正以最高优先级进行调查，确认后会第一时间更新信息。”

由于回应不足，社区信心受到打击，许多用户选择撤出流动性资产。分析师建议暂时停止在Balancer的池中交互，以防止潜在未修复漏洞带来的风险。同时，Balancer的原生代币BAL在24小时内暴跌超过13%，市场情绪明显受挫。

历史重演：Balancer五年来多次遭遇攻击

作为老牌的AMM协议，Balancer在过去五年中多次成为攻击目标。主要安全事件包括：

2020年6月28日至29日：攻击者利用“手续费+燃烧”型代币池的漏洞，通过闪电贷和反复交易，制造资产余额与实际减少不符的假象，骗取约50万美元（涵盖ETH、WBTC、LINK、SNX等）。
2023年8月22日：Balancer团队发现V2版本“Boost池”存在严重漏洞，并建议用户尽快撤出资金。但在5天后，攻击仍然发生。漏洞源于舍入误差，攻击者利用精确操作让BPT（Balancer池代币）供应量计算出现偏差，以不公平汇率提取资产。多笔闪电贷助攻下，造成损失估算在97.9万美元至210万美元之间。
2023年8月27日至9月20日：在漏洞曝光后，攻击者再次利用漏洞造成资金流失，估算损失在90万至100万美元。此外，9月20日，还发生一起前端域名劫持或DNS攻击，造成约23.8万美元损失。