5 年 6 次事故损失破亿，老牌 DeFi 协议 Balancer 黑客光顾史

Chainfeeds 导读：

对于旁观者，DeFi 是一场新奇的社会实验；对于参与者，DeFi 被盗是一次昂贵的教训。

文章来源：

深潮 TechFlow

观点：

深潮 TechFlow：Balancer 官方在事发后迅速发布公告，承认发现了可能影响 V2 池的漏洞攻击，并表示工程与安全团队正在高优先级调查事件，将在掌握更多信息后公布验证结果与后续措施。同时，团队宣布愿意提供被盗资产 20% 的白帽奖励以追回资金，期限为 48 小时。此举回应迅速但仍显官腔，未能平息社区焦虑。对于 DeFi 老玩家而言，Balancer 被黑几乎已成周期性新闻。自 2020 年成立以来，这个曾被誉为灵活做市商的老牌协议，五年内累计发生六次安全事故，几乎每年都要遭遇一次黑客年度巡礼。2020 年 6 月，Balancer 因通缩代币 STA 的处理漏洞损失约 52 万美元，攻击者利用 STA 转账自动销毁 1% 手续费的特性，从 dYdX 借出 10.4 万 ETH 并在池内进行 24 次循环交易，直至池中 STA 被耗尽，仅剩 1 wei，随后以极度失衡的价格换走 ETH、WBTC、LINK 和 SNX。此事件成为 Balancer 首次重大挫败，也揭示了协议在复杂代币兼容性设计上的脆弱基础。 此后数年，Balancer 屡遭安全事件。2023 年 3 月，因 Euler Finance 被攻击而躺枪，损失约 1190 万美元。当时 Euler 遭遇 1.97 亿美元闪电贷攻击，Balancer 的 bb-e-USD 池持有 Euler eToken，受牵连资金被转移至 Euler，占该池 TVL 的 65%。虽团队紧急冻结池子，损失仍无法挽回。同年 8 月，V2 池遭遇 “舍入误差” 漏洞攻击，攻击者利用 Boosted Pool 精度偏差，制造 BPT 供应量计算异常，以不正当汇率提取资产。尽管 Balancer 在 8 月 22 日已主动预警并要求用户撤资，但五天后黑客仍成功实施攻击，损失约 210 万美元。9 月又发生 DNS 劫持事件，黑客通过社会工程手段攻陷注册商 EuroDNS，劫持 balancer.fi 域名，将用户引导至钓鱼网站，以 Angel Drainer 恶意合约诱导授权转账。虽然这起事件并非智能合约漏洞，但显示出 Web3 协议在传统互联网安全层的脆弱性。2024 年 6 月，Balancer 分叉项目 Velocore 被黑，损失 680 万美元，攻击源于 CPMM 池设计中的溢出漏洞，凸显 Balancer 式架构的系统性风险。 2025 年 11 月这次攻击则是迄今最严重的一次。安全公司 Decurity 与 Defimon Alerts 指出，漏洞源于 V2 协议 manageUserBalance 函数的访问控制逻辑错误。正常情况下，系统应校验调用者是否为账户所有者，但代码错误地验证 msg.sender 与用户自定义参数 op.sender 是否相等。由于 op.sender 可由用户任意输入，攻击者得以伪造身份，绕过权限验证执行 WITHDRAW_INTERNAL 操作，从金库中直接提取任意账户资产。换言之，任何人都可冒充任意账户所有者提款。如此基础的访问控制失误出现在运行五年的成熟协议中，令人震惊。回顾历史可见，Balancer 的复杂性与快速迭代导致安全边界不断模糊 —— 允许最多八种代币的自定义权重池设计虽提升灵活性，却指数级放大攻击面。随着功能叠加与技术债累积，Balancer 的代码结构宛如脆弱积木塔。最新漏洞揭示的，不只是一次合约失误，更是一种 DeFi 发展路径的隐忧：在叙事与资本狂热下，代码稳健性似乎成了次要考量。