去中心化金融平台Balancer已確認其V2協議及其他鏈上的分支遭遇重大安全漏洞。
去中心化金融平台Balancer已承認近期針對其V2協議及其他鏈上分支的安全漏洞「影響嚴重」。在最新的更新中,Balancer未直接確認損失超過百萬美元,表示最終的損失數字仍在驗證中,將在多方驗證後公布。
此確認發布於Stakewise DAO宣布已從攻擊者手中回收2,070萬美元數字資產超過24小時之後,並計劃將資金返還受影響的用戶。如Bitcoin.com News及其他媒體報導,Balancer在黑客利用智能合約漏洞後,損失超過百萬美元。
一位分析師推測,攻擊者可能使用了「vibe coding」或大型語言模型等技術來執行攻擊。然而,Balancer在初步報告中指出,根本原因是升級函數的四捨五入邏輯存在缺陷。
平台表示,為了實現精確數量的交換,系統持續向下取整的操作使得攻擊者能系統性地提取價值。其解釋如下:
「攻擊者能利用不正確的四捨五入行為,結合batchSwap功能,操控池子餘額並提取價值。在許多情況下,被攻擊的資金仍留在Vault內作為內部餘額,待後續交易中提取。」
Balancer目前正優先進行緩解措施和資金回收,同時調查仍在進行中。平台還披露,持續驗證內部帳本,追蹤攻擊者資金流、白帽救援、凍結資產、已回收資金,以及協議和用戶的提款情況。平台呼籲用戶忽略網路上流傳的非官方損失估計。
