1 億 1600 萬美元加密資產遭竊——Balancer 爆發 DeFi 領域罕見的大型安全漏洞

2026-01-25 22:06:15

區塊鏈

加密視野

DeFi

流動性質押

Web3 錢包

文章評價 : 3.5

170 個評價

深入剖析價值 1,160 萬美元的 Balancer Protocol 漏洞事件對多元區塊鏈 DeFi 安全體系的衝擊。完整掌握漏洞分析、防範對策與安全措施，協助您在 Gate 及各類去中心化平台有效防禦協議型攻擊，確保加密資產安全無虞。

1 億 1600 萬美元加密資產遭竊——Balancer 爆發 DeFi 領域罕見的大型安全漏洞

Balancer Protocol 遭遇重大安全漏洞

Balancer Protocol 在一場複雜的跨鏈攻擊中損失超過 1.16 億美元，受波及的區塊鏈網路遍及多個生態，成為近年去中心化金融領域最嚴重的安全事件之一。此事件再度凸顯 DeFi 協議面臨高度進階攻擊，健全安全機制對加密生態至關重要。

Balancer Protocol 的大額加密資產流失，不僅造成直接經濟損失，也突顯去中心化金融平台所面臨的安全挑戰。本次超過 1.16 億美元的多類加密資產遭有組織、系統性地提取，攻擊涵蓋多條區塊鏈網路，手法極為高明且具高度預謀。

此次攻擊最早由區塊鏈分析機構 Lookonchain 在清晨發現並預警，報告指出 Balancer 遭受了 7,060 萬美元加密資產的攻擊。初步調查顯示，攻擊者成功提取大量包裹以太幣及流動性質押衍生品，涉及多條區塊鏈，展現出對跨鏈安全漏洞與 DeFi 架構的深厚理解。

初步取證顯示，攻擊者自不同區塊鏈網路的資金池中提取了 6,587 枚 WETH（約 2,446 萬美元）、6,851 枚 osETH（約 2,686 萬美元）以及 4,260 枚 wstETH（約 1,927 萬美元）。這些精準且協同的操作顯示，這是一場經過長期偵查及縝密策劃的行動，而非偶發事件。

Balancer 1.16 億美元 DeFi 漏洞事件進展

隨著攻擊即時推進，事件急速升級。首次偵測到攻擊後僅 30 分鐘，Lookonchain 即更新指攻擊仍在持續，失竊資金突破 1.16 億美元。此高度擴張的過程顯示系統脆弱性，以及攻擊者跨鏈執行複雜交易的能力。

本次漏洞的規模及技術複雜度展現極高協同作案手法，涵蓋多個 DeFi 生態，並對 Balancer 流動性架構有深入理解。攻擊者熟練運用跨鏈橋、流動性池原理及複雜交易路徑，最大化提取價值並有可能繞過安全監控。

事件過程中，鏈上追蹤數據顯示，駭客在 DeBank 資產組合中仍持有約 9,500 萬美元被竊資產，同時約 2,100 萬美元已分散轉移至多個錢包。這種分散模式符合加密竊盜慣用的洗錢手法：攻擊者透過多個地址迅速移轉資產，混淆資金流向，為後續在隱私協議或去中心化平台套現做準備。

本次攻擊在整體 DeFi 生態造成連鎖反應，特別影響基於 Balancer 原始碼分叉或整合其技術的項目。相關協議或直接遭遇安全事件，或採取預防措施以維護用戶資金安全。此漣漪效應突顯 DeFi 生態高度連動性，主流協議漏洞可能對依賴或類似項目造成深遠衝擊。

攻擊傳出後，市場出現恐慌性提領。值得注意的是，一只沉寂三年的巨鯨錢包突然啟動，從 Balancer 池提取了 650 萬美元。這類行為反映安全事件下的市場心理，許多無直接涉事用戶也因疑慮而集中撤資，進一步加劇協議流動性壓力。

主流 DeFi 協議的應對

加密社群及主流 DeFi 協議迅速自我風險評估，並及時與用戶溝通潛在風險。此舉展現 DeFi 生態危機管理能力提升，以及安全事件中透明溝通的重要性。

以太坊主流流動性質押平台 Lido 第一時間發表聲明，確認部分包含 Lido 相關資產的 Balancer V2 池受影響。但 Lido 迅速向用戶保證，核心協議基礎設施及絕大多數用戶資金均完全安全，未受本次事件波及。

Lido 在官方通告中明確列出受影響資金池及資產保護措施。協議表示：「出於謹慎考量，Lido GGV 策展團隊 Veda 已撤回未受影響的 Balancer 持倉。」此類主動防範舉措，即使直接影響有限，也能降低二次攻擊與連鎖故障風險。

同時，DeFi 借貸巨頭 Aave 也藉此機會澄清自身狀況，安撫用戶。協議強調，憑藉獨特架構及客製化設計，完全未受 Balancer 漏洞影響。此舉對維持用戶信心至關重要。

Aave 技術團隊詳細說明自身協議何以能抵禦本次攻擊，指出 Aave/stETH stkBPT 池採用獨立於易受攻擊元件的客製化 Balancer V2，並與 Aave 風控系統深度整合，為協議增設安全防線。

「Aave 協議架構上不依賴 Balancer V2，據我們了解並未受影響。」Aave 團隊於官方聲明中表示。此舉既回應用戶關切，也突顯 DeFi 協議設計上架構獨立與安全客製化的重要性。

原因未明，調查持續進行

儘管事件影響深遠，但事後具體技術細節及根本原因尚未公開。Balancer 開發團隊已承認安全漏洞，並聯合安全研究員與區塊鏈鑑識專家展開調查，致力釐清攻擊路徑並防堵後續事件。目前尚未公開被利用的具體漏洞及所有受影響鏈的損失總額評估。

獨立安全研究初步分析，本次屬複雜的跨鏈攻擊向量，極可能針對 Balancer 的獨特流動性架構漏洞。協議創新的自動做市與流動性機制雖提升效率，卻也可能帶來未預期攻擊面，遭高階攻擊者發掘並利用。

事實上，這並非 Balancer Protocol 首次面臨重大安全挑戰。協議曾因智能合約漏洞損失 200 萬美元，這一教訓本應推動更深入的安全審查及架構複檢。

隨後又發生一次安全事件，導致 V2 池遭竊超過 90 萬美元。屢次遭攻擊顯示協議可能存在架構層面的深層漏洞，或在開發與維護過程中安全措施不全。這些事件令安全專家質疑其核心設計能否有效防禦複雜攻擊。

與本次大規模漏洞類似，早前受攻擊資產分布於 Ethereum、Polygon、Arbitrum、Optimism、Avalanche、Gnosis、Fantom、zkEVM 等多鏈。多鏈易受攻擊情況顯示，安全問題更可能源自協議核心邏輯，而非單一鏈的技術細節，難以徹底根治。

DeFi 安全隱憂加劇

Balancer 漏洞事件反映針對 DeFi 協議的攻擊日益複雜且破壞性愈發嚴重，影響已蔓延至多條主流區塊鏈。令人憂心的是，近期攻擊不再限於以太坊，幾乎所有主流網路皆成為目標，顯示安全威脅已成產業共同難題。

加密攻擊在地理與技術層面持續擴展，標誌威脅情勢升級。攻擊者不僅聚焦以太坊，也積極尋找其他主流區塊鏈漏洞。攻擊目標多元，既反映其他鏈價值鎖定增加，也展現不法分子技術進步。

近期，Sui 上的 DeFi 收益平台 Nemo Protocol 遭遇複雜攻擊，損失達 240 萬美元。事件發生在協議維護窗口前夕，暗示攻擊者可能掌握內部訊息，或長期監控營運節奏以選定攻擊時機。

同日，瑞士加密平台 SwissBorg 損失價值 4,150 萬美元的 Solana 代幣，駭客透過攻破合作 API 服務商 Kiln 的安全，暴露加密生態第三方依賴風險，即使協議本身安全也可能因外部服務被攻破而受損。

年初，Sui 鏈上的去中心化交易所 Cetus Protocol 也曾遭攻擊，損失超過 2,000 萬美元。如此大型竊盜證明新興區塊鏈平台並非絕對安全，即使具備更現代的架構與安全承諾。

區塊鏈安全公司 PeckShield 數據顯示，近期單月加密駭客損失達 1.2706 億美元，凸顯 DeFi 及區塊鏈平台面臨大規模攻擊風險不斷升高。此數字僅為產業整體安全危機縮影，安全基礎建設亟待強化。

從整體來看，近期加密攻擊總損失約達 21 億美元，幾乎追平去年全年總額。趨勢顯示，儘管安全投入加大，攻擊者技術與手法亦持續進化，持續威脅區塊鏈協議及用戶資產安全。

為何加密駭客頻繁發生

唯有深入理解加密領域持續性安全漏洞的根本原因，方能制定有效對策，全面提升 DeFi 協議安全水準。產業專家認為，以下三大核心因素使區塊鏈平台與 DApp 屢遭攻擊：

Immunefi 創辦人兼 CEO Mitchell Amador 作為區塊鏈漏洞賞金平台領袖，憑藉豐富安全事件分析經驗，總結出加密產業系統性安全挑戰的三大要素：

靜態稽核： 許多區塊鏈項目及 DeFi 協議高度依賴上線前或重大升級時的一次性安全稽核。這雖有助於發掘早期漏洞，但僅反映協議在某個時點的安全狀態。實際上，智能合約和 DeFi 協議持續升級、整合新協議、生態環境不斷變化，隨時可能引入新漏洞。初始稽核未涵蓋的弱點，會隨協議動態演進及新型攻擊向量浮現而暴露。因此，靜態稽核難以應對實際運行後出現的安全問題。

忽略激勵機制： 不少開發團隊低估 Web3 生態下攻擊者強烈的經濟動機。區塊鏈帳本公開透明，攻擊者可輕易發現高價值目標並分析協議機制，尋找漏洞。與傳統金融的隱蔽性不同，區塊鏈的透明反而便於攻擊者精準計算潛在收益。協議應設置高額漏洞賞金，獎勵高於黑市獲利，鼓勵白帽研究員主動揭露漏洞而非自行利用。

缺乏 Web3 專業知識： 不少新進團隊缺乏 Web3 專業安全知識，與傳統軟體安全有根本差異。許多成員來自 Web2 背景，未充分認知區塊鏈可組合漏洞、預言機操控、搶跑攻擊、智能合約程式碼不可更改等風險。知識落差使得在傳統環境下安全的架構與編碼習慣，於區塊鏈場景中卻埋下隱憂。