作者:Frank,PANews
11月3日,DeFi世界的天空被撕开了一道口子。老牌DeFi协议Balancer的金库地址出现异常的大额资金转移 。随后的几个小时里,整个行业目睹了一场灾难的实时上演,受损资金从最初报告的7000万美元一路上升至1.166亿美元 ,最终稳定在1.2864亿美元的惊人数字。
巨额受损金额背后,是Balancer V2协议有着多达27个“分叉协议” ,它们同样面临着这个潜伏已久的致命漏洞所带来的系统性风险。
Balancer V2遭黑客攻击,1.28亿美元资金被盗
11月3日,链上安全公司派盾注意到到Balancer V2金库发生异常转账 。大量封装以太坊(WETH)和流动性质押衍生品(wstETH, osETH)被转移到一个新钱包 。
随后Balancer 团队迅速确认的确发生了链上攻击事件,随着链上监控的不断发现,最终统计的受损金额来到了1.28亿美元。Balancer团队表示,攻击范围被严格限制在 V2 可组合稳定池(Composable Stable Pools)。其较新的 V3 架构 及其他 V2 池类型(如权重池)均未受影响。
截至11月4日,Balancer 团队仍未公布具体的攻击原因。不过根据Nansen链上分析师的分析认为,这次攻击的根源在于一个“有缺陷的访问控制检查”(faulty access-control check)。
攻击者通过调用V2 协议的manageUserBalance函数向金库发送了一个恶意构造的指令。这个指令欺骗了协议的内部账本,使其相信“协议刚刚收取了一大笔费用”,并且“这笔费用的所有权归攻击者” 。随后,攻击者调用了正常的提款需求,将巨额的资产转移到自己的账户数。
从技术的角度来看,这次攻击的完成并不在与技术能力有多强,而是攻击者巧妙的利用了协议当中的逻辑漏洞完成。有分析师认为,黑客在攻击的过程中留下了控制台日志,从痕迹的习惯来看,这个黑客很有可能借助了AI大模型来编写和审查代码,从而发现了人类审计师遗漏的缺陷。
27个分叉协议“躺枪”,各链启动应急措施
相比黑客巧妙的攻击手段,真正令行业感到失望的是,Balancer V2此前曾经过四家不同的安全公司OpenZeppelin、Trail of Bits、Certora 和 ABDK总计11次审计,却仍未能发现此次漏洞。
最具讽刺意味的是,此次被利用的“可组合稳定池” (Composable Stable Pool) 这一特定组件,曾在 2022 年 9 月接受过 Certora 和 Trail of Bits 的专项审计 。
而作为一个上线多年,且看起来经过市场考验的DeFi协议,Balancer V2协议作为模板已经发展出多达27个“Fork 协议”,这些协议也全部继承了Balancer V2这一逻辑漏洞。对于黑客而言,这个漏洞就像是拥有了一把万能钥匙,可以随时打开这些同样有着缺陷代码的“分叉协议”的金库。
实际上,这次的黑客攻击已经蔓延至多条链上。其中,以太坊主网的Balancer V2 (主协议)受损最为严重,预估损失达到1亿美元。其次是Berachain的BEX协议,损失金额可能达到1286万美元。此外,还有Arbitrum、Base、Sonic等一共七条公链的协议在这场攻击行为中受到影响。
面对这场无妄之灾,行业面临两难选择:究竟是应该坚持“代码即法律”的去中心化原教旨主义,眼睁睁看着用户资金被盗?还是采取中心化的干预措施来保护用户?
受灾最严重的Berachain做出了最激进、也最具争议的决定:协调验证节点,暂停了整个网络的运行。通过回滚交易,Berachain拯救了 BEX 交易所上面临风险的1200多万美元资产 。
当然,这也不可避免的引发了社区的争议,有人质疑:“这难道不会彻底损害你们‘链’的最终性与安全性吗?现在这更像是私有链而非公有区块链了吧?”对此,Berachain匿名联合创始人Smokey the Bera回应道:“我认为你的担忧是合理的,但我相信非常情况需要非常手段——我们过去在 Sui 和 Hyperliquid 等案例中也见过类似做法。”
大多数的社区成员还是支持这项决定,毕竟损失惨重的资金池带来的恶性影响可能要远大于所谓的“去中心化”信仰。
Sonic 链则激活了一种“链上账户冻结机制”,在不停止网络的情况下,锁定了攻击者的钱包及其中的340万美元资金。Polygon的验证节点开始主动“审查”来自攻击者地址的交易。
曾出现多次漏洞事件,TVL腰斩引发信任危机
Balancer的发展史,实际上也是与一部复杂逻辑漏洞不断博弈的历史。此前,Balancer曾多次遭遇黑客攻击,从2020年到2025年,累计至少发生过五次漏洞事件。这些攻击手法从最早的闪电贷攻击到更加复杂的V2 增强池漏洞。
然而,在过往的案例中,受损金额基本在几十万美元到200万美元之间。对Balancer而言,这些过往的攻击事件更像是修补漏洞的机会。而这次预估损失过亿的惨案,则直接击溃了市场对Balancer的信任和信心。
根据Defillama的数据显示,在攻击发生后,Balancer的TVL直接从7.76亿美元下降至3.45亿美元,降幅超过一半。尤其是Balancer V2的TVL直接减少了2.3亿美元,Balancer V2的分叉协议也纷纷撤出资金池,其中Gaming DEX的TVL在一天内下降了87%,Beets DEX则下降了48%。
Lido也表示,虽然Lido协议未受影响,但出于谨慎考虑,已撤出其未受影响的Balancer头寸。
实际上,像Gaming DEX这样的分叉协议在事后也表示未受到实际影响,只是为了安全考虑撤出大部分资金。
对于DeFi协议而言,信任比黄金更重要,尤其是在屡次遭遇攻击的历史背景下。截至11月4日,根据官方透露,StakeWise DAO已经通过多签协议的合约调用,从黑客手中追回了超过2000万美元损失。这也使得这次受损的金额下降到9800万美元。同时,黑客资产的转移仍在进行中,已有超过一半被换成ETH。
这场1.28亿美元的攻击,成为DeFi成长过程中代价昂贵的必修课,也提出了三个尖锐问题
1、当“黄金标准”的11次审计都无法发现潜伏两年的致命漏洞时,“审计”的意义何在?
2、当“代码传染病”成为常态,一个基础协议的漏洞可以瞬间摧毁27个衍生协议时,DeFi 的可组合性是创新还是诅咒?
3、当新兴公链被迫在“去中心化”和“拯救用户”之间做出选择时,“代码即法律”的理想是否已经让位于“务实的中心化”?
未来,DeFi 的安全可能不再仅仅依赖于更多的审计,而是依赖于更简单、更稳健、从根本上减少了攻击面的协议设计。而对于那些在这次事件中失去信任和资本的用户来说,这种领悟的代价无比沉重。
