Balancer 2025 年的黑客事件在去中心化金融(DeFi)生態系統中引發震盪,涉及一筆 $128 百萬美元的漏洞,針對其 V2 可組合穩定池,突顯出流動性管理的漏洞並提出緊迫的審計限制與協議互操作性問題。
2025 年 11 月 3 日,Balancer V2 遭遇嚴重入侵,損失了 $128 百萬美元,涵蓋以太坊 (、Arbitrum $100 、Base )$3.95 百萬、Sonic ($3.4 百萬、Optimism $8 $1.57 百萬、Polygon )$230,000 以及其他鏈。此次攻擊利用了 manageUserBalance 函式中的一個缺陷,讓黑客冒充手續費擁有者,盜取 WETH、wstETH 和 osETH 等資產。這並非 Balancer 的首次事件——過去的漏洞凸顯長期運行合約的風險,導致總鎖倉價值(TVL)已縮減至 12 億美元,分叉協議也面臨大量資金外流。
此次漏洞源於 Balancer 的 Vault 合約中驗證機制的缺陷,攻擊者設計惡意指令,繞過所有權檢查。利用 UserBalanceOpKind.WITHDRAW_INTERNAL,他們欺騙系統進行未經授權的提取,並操控回調來執行交換(swap),無需授權。安全公司 PeckShield 確認未洩漏私鑰,這純粹是智能合約的缺陷,攻擊者利用互聯池快速抽取資產。這種「蝴蝶效應」擴散到分叉協議,放大了 DeFi 協作模型中的系統性風險。
Balancer V2 的漏洞波及 27 個分叉協議,影響以太坊、Berachain 等多個鏈,促使緊急應對措施,例如鏈停止運作與倉位提現。Berachain 暫停了網路進行硬分叉,禁用橋接(bridges)並停止 USDe 存款,而 Sonic 則凍結了黑客的錢包。此次事件暴露了審計的盲點——儘管由 Certora 和 OpenZeppelin 進行了審查,但仍未能完全避免此漏洞,並引發關於隱私與擴展性平衡的討論,也激起了對去中心化與用戶保護的辯論。隨著總鎖倉價值超過 ) 億美元,此類漏洞可能引發超過 10 億美元的抵押品追繳,凸顯出 DeFi 的脆弱性。
此次漏洞立即引發多項行動:
關於「去中心化的代價」的辯論持續激烈,Hal Finney 的繼承人與分析師認為暫停措施削弱了信任,而也有人讚揚用戶安全。黑客的地址與 1.28 億美元相關聯,並持續透過 Mixero 進行洗錢,並已將 ( 兌換成 ETH/USDC。
Balancer 作為 2017 年的自動做市商(AMM)先驅,歷來曾遭遇多次漏洞,包括 2022 年的 ) 向下破位(drain)和 2021 年的 ( 損失(loss),儘管經過審計。2021 年的合約中出現的 V2 缺陷,揭示了長期運行代碼的風險,讓專家預估 DeFi 可能倒退 6 至 12 個月。像 Velodrome 和 Solidly 這樣的分叉協議也面臨類似威脅,凸顯了協作性的雙刃劍特性。
此次黑客事件揭示了:
未來需採用模組化設計、實時監控與 ZK 證明來驗證存取權限。
