Balancer協議V2池遭黑客攻擊 損失超1.28億美元

Balancer協議宣布其V2流動性池成為黑客攻擊目標，據報道此次攻擊造成的損失估計超過1.28億美元。

Balancer是基于以太坊區塊鏈構建的去中心化金融（DeFi）協議，兼具自動做市商與流動性基礎設施層功能。該協議提供支持自定義代幣組合的靈活流動性池，用戶可存入資產賺取手續費，交易者則能進行資產互換。協議由BAL代幣治理，事發前該代幣的市值為6500萬美元。

Balancer尚未披露事件過多細節，但已警示用戶警惕潛在詐騙或釣魚攻擊。該協議已確認，V2可組合穩定池遭遇漏洞利用攻擊，且該問題未影響包括V3在內的其他任何Balancer流動性池。

攻擊原因爭議

關于攻擊的具體成因目前尚無統一結論。據GoPlus Security分析，Balancer V2的漏洞利用源于金庫（Vault）swap交易計算過程中的精確舍入誤差。每次互換操作都會對代幣數量向下取整，產生微小偏差，而攻擊者可反復利用這一偏差。通過批量互換功能串聯多次交易，這些舍入損失會累積形成巨大的價格扭曲，最終被攻擊者利用。

使用縮放因子對代幣數量進行標準化

另有部分自稱了解內情的用戶表示，攻擊源于Balancer V2金庫內部的授權不當與回調處理漏洞。據透露，攻擊者惡意部署的合約在流動性池初始化階段操縱了金庫調用，成功繞過安全防護措施，實現了跨關聯池的未授權互換與余額操控。

Balancer承諾將“盡快分享此次攻擊的更多細節及完整事后分析報告”。值得注意的是，自2021年以來，Balancer V2已歷經11次安全審計，每次審計的檢查范圍各有不同。

仿冒官方的釣魚企圖

與此同時，有不法分子試圖借此次事件牟利——冒充Balancer官方聯系黑客，提出“白帽賞金”方案：若黑客同意將其余贓款退回指定地址，可獲得被盜金額20%的獎勵。

該釣魚信息措辭嚴謹，通過多重設計營造可信度，包括明確獎勵比例、設定截止日期及附帶威脅內容，全程以談判姿態逼迫黑客立即配合。

若黑客拒絕該交易，冒充Balancer的詐騙者威脅稱，將動用從區塊鏈取證專家、執法機構及監管合作伙伴處獲取的所有信息，定位并起訴攻擊者。

此次Balancer攻擊是2025年規模最大的加密貨幣盜竊事件之一。目前攻擊責任方尚未確定，但去中心化金融（DeFi）領域機構面臨的最大威脅來自朝鮮黑客組織。

到今年10月為止，與朝鮮黑客盜竊相關的加密貨幣金額已超過20億美元，其中規模最大的是2月發生的Bybit交易所攻擊事件，黑客當時竊取了15億美元的加密貨幣。

參考及來源：https://www.bleepingcomputer.com/news/cryptocurrency/hacker-steals-over-120-million-from-balancer-defi-crypto-protocol/