DeFi再爆雷！Balancer被盜超過1.16億美元，損失仍在擴大中！

東八區11月3日3:48PM左右，鏈上數據監測平台突然發現：Balancer，一個老牌DeFi協議的金庫地址，出現了異常的大額轉帳。

Etherscan顯示，包括6,587枚WETH（約2,450萬美元）、6,851枚osETH（約2,690萬美元）及4,260枚wstETH（約1,930萬美元）在內的多鏈資產被轉移至外部錢包。

多位鏈上分析師認為，這應該是一次潛在的漏洞利用或未經授權的提現，而非例行的流動性遷移。包括Nansen在內的多家區塊鏈分析提供商也已將這些交易標記為可疑交易。

據區塊鏈安全機構PeckShield監測，攻擊持續在以太坊等多鏈網絡上持續進行。

截至東八區4:48PM左右，攻擊者地址（0x54B5…30d）通過調用函數0x8a4f75d6完成又一筆交易，Lookonchain確認總損失已超過1.16億美元。

Trading Strategy聯合創始人Mikko Ohtamaa指出，初步分析漏洞根源為智能合約檢查機制缺陷。雖然並非所有Balancer版本受影響，但如果舊版V2分叉存在相同漏洞，總損失可能進一步上升。

DeFi安全仍是難題

這並不是Balancer第一次遭遇安全問題。

• 早在2020年，協議曾因未考慮“轉帳扣費”類代幣的特殊行為，導致攻擊者通過閃電貸操縱池子資產，造成約50萬美元損失。

• 2023年8月，Balancer V2的Boosted Pool被發現漏洞，儘管官方預警，仍發生攻擊，資金損失約100萬美元。

• 同年9月，Balancer的前端域名遭到DNS劫持，用戶在釣魚網站上簽署交易後共計損失近24萬美元。

如今，最新一輪攻擊再次將DeFi安全問題推上風口浪尖。從合約設計到前端部署，從流動池邏輯到跨鏈資產管理，Balancer面對的安全挑戰似乎從未真正解決。

而且，Balancer本就是一個流動性樞紐型協議，它出事，不只是自己出事。被套的LP、依賴它的聚合器、資產池、策略Vault……都會受到波及。

DeFi世界講究“無需信任”，但在一次又一次的漏洞利用面前，用戶真正能信任的是什麼？經歷五年發展，DeFi已不再是極客們的小圈子遊戲，而是掌管著數十億資金的金融基礎設施。可惜的是，即便頭部協議如Balancer，也依然難逃舊患未除、新傷又至的宿命。

Balancer兩小時後回應

東八區17:50，也就是事件發生的兩個小時後，Balancer更新官推：已發現一個可能影響Balancer v2池的漏洞。我們的工程和安全團隊正在高度優先地進行調查，一旦獲得更多信息，我們將立即分享已確認的更新和後續步驟。

Bitpush正持續追蹤事件進展，我們將第一時間同步最新動態，敬請保持關注。