11600 万美元加密资产被盗——Balancer 遭遇 DeFi 领域罕见的大规模安全漏洞

Balancer Protocol 遭遇重大安全漏洞

Balancer Protocol 在一次复杂的跨链攻击中损失超过 11600 万美元，受影响的区块链网络广泛，这成为近年来去中心化金融领域最严重的安全事件之一。该事件再次表明，DeFi 协议持续暴露于高级攻击手段之下，强健的安全机制对于加密生态至关重要。

Balancer Protocol 的大额加密资产流失不仅造成直接经济损失，更凸显去中心化金融平台面临的安全挑战。此次超 11600 万美元的多种加密资产被有组织、系统性地提取，攻击涵盖多个区块链网络，手段极为高明且有预谋。

此次攻击最早由区块链分析机构 Lookonchain 于清晨发现并预警，报告称 Balancer 遭受了 7060 万美元加密资产的攻击。初步调查显示，攻击者成功提取了大量包裹以太坊和流动性质押衍生品，涉及多条区块链，展现出对跨链安全漏洞和 DeFi 架构的深刻理解。

初步取证显示，攻击者从不同区块链网络的资金池中提取了 6,587 枚 WETH（约 2446 万美元）、6,851 枚 osETH（约 2686 万美元）和 4,260 枚 wstETH（约 1927 万美元）。这些操作的精准与协作性表明，这是一场经过长期侦查和周密策划的行动，而非偶发事件。

Balancer 1.16 亿美元 DeFi 漏洞事件进展

随着攻击实时推进，事件迅速升级。首次检测到攻击后仅 30 分钟，Lookonchain 就更新称攻击仍在进行中，失窃资金突破 11600 万美元。这一极速扩大的过程彰显了相关系统的脆弱性和攻击者跨链执行复杂交易的能力。

此次漏洞的规模与技术复杂度显示出高度协同的作案手法，涵盖多个 DeFi 生态，对 Balancer 流动性架构的理解极为深入。攻击者能熟练利用跨链桥、流动性池原理与复杂交易路径，最大化提取价值并有可能绕过安全监控。

事件进展过程中，链上追踪数据显示，黑客在 DeBank 资产组合中仍持有约 9500 万美元被盗资产，同时约 2100 万美元已分散转移至多个钱包。这一分散模式符合加密盗窃惯用的洗钱手法：攻击者通过多个地址快速转移资产，混淆资金路径，为后续在隐私协议或去中心化平台套现做准备。

此次攻击在更广泛 DeFi 生态中引发连锁反应，尤其影响那些基于 Balancer 代码分叉或集成其技术的项目。相关协议或直接遭受安全事件，或采取预防措施保护用户资金。这一涟漪效应凸显 DeFi 生态的高度关联性，主流协议的漏洞可能给依赖或类似项目带来深远影响。

攻击传出后，市场出现恐慌性提现。尤其值得注意的是，一只已沉寂三年的巨鲸钱包突然激活，从 Balancer 池提取了 650 万美元。这类行为反映了安全事件下的市场心理，许多无直接涉事用户也会因担忧而集中撤资，进而加剧协议流动性压力。

主流 DeFi 协议的应对

加密社区和主流 DeFi 协议迅速评估自身风险，并就潜在风险及时与用户沟通。这一响应展示了 DeFi 生态危机管理能力的提升，以及透明沟通在安全事件中的重要性。

以太坊生态主流流动性质押平台 Lido 首批发表声明，确认部分包含 Lido 相关资产的 Balancer V2 池受影响。但 Lido 迅速向用户保证，核心协议基础设施和绝大多数用户资金完全安全，未受本次事件波及。

Lido 在官方通告中详细列明受影响资金池及资产保护措施。协议称：“出于谨慎考虑，Lido GGV 策展团队 Veda 已撤回未受影响的 Balancer 持仓。”这种主动防范举措即使在直接影响有限时也能降低二次攻击和连锁故障风险。

与此同时，DeFi 借贷巨头 Aave 也借此机会澄清自身状况，安抚用户。协议强调，凭借独特架构和定制实现，完全未受 Balancer 漏洞影响。这一点对于维持用户信心至关重要。

Aave 技术团队详细说明自身协议为何能抵御本次攻击，指出 Aave/stETH stkBPT 池采用的是独立于 Balancer 易受攻击组件的定制版 Balancer V2，实现了与 Aave 风控体系的深度集成，为协议增添了安全防线。

“Aave 协议架构上不依赖 Balancer V2，据我们掌握的信息未受影响。”Aave 团队在官方声明中表示。此举既回应了用户关切，也凸显了 DeFi 协议设计中架构独立和安全定制的重要性。

原因未明，调查持续进行

尽管影响巨大，但事发后具体技术细节和根本原因尚未披露。Balancer 开发团队已承认安全漏洞，并联合安全研究员及区块链取证专家开展调查，致力于查明攻击路径并防范后续事件。目前尚未公开被利用的具体漏洞及所有受影响链的整体损失评估。

独立安全研究的初步分析表明，本次为复杂的跨链攻击向量，极可能针对 Balancer 独特流动性架构的漏洞。协议创新的自动做市与流动性机制虽然提升了效率，但也可能带来未预见的攻击面，被高级攻击者捕捉并利用。

实际上，这并非 Balancer Protocol 首次面临严重安全挑战。协议此前曾因智能合约漏洞损失 200 万美元，这一教训本应促使其开展更深入的安全审计和架构复查。

紧随其后又发生了一次安全事件，导致 V2 池被盗超 90 万美元。反复被攻击表明协议要么存在架构层面的深层漏洞，要么在开发和维护过程中安全措施未到位。这些事件令安全专家质疑其核心设计能否有效防御复杂攻击。

与本次大规模漏洞类似，早前受攻击资产分布于 Ethereum、Polygon、Arbitrum、Optimism、Avalanche、Gnosis、Fantom、zkEVM 等多链。这种多链易受攻击的情况说明安全问题更可能根植于协议核心逻辑，而非单链实现细节，难以彻底根治。

DeFi 安全隐忧加剧

Balancer 漏洞事件反映了针对 DeFi 协议的攻击日益复杂且破坏性愈发严重，且已波及多条主流区块链。令人担忧的是，近期攻击已不限于以太坊，几乎所有主流网络都成为目标，表明安全威胁是行业普遍难题。

加密攻击在地理和技术层面的扩展，标志着威胁形势的升级。攻击者不仅聚焦以太坊，还积极搜寻其他主流区块链的漏洞。攻击目标多元化，既反映了其他链价值锁定的增加，也体现了不法分子的技术提升。

近期，Sui 上的 DeFi 收益平台 Nemo Protocol 遭受复杂攻击，损失达 240 万美元。事件发生在协议维护窗口前夕，暗示攻击者可能掌握内部信息，或长期监控运营节奏以选准攻击时机。

同日，瑞士加密平台 SwissBorg 损失了价值 4150 万美元的 Solana 代币，黑客通过攻破其合作 API 服务商 Kiln 的安全，暴露了加密生态第三方依赖的风险，即使协议本身安全也可能因外部服务被攻破而受损。

年初，Sui 链上的去中心化交易所 Cetus Protocol 也曾被攻击，损失超过 20000 万美元。如此大规模盗窃证明，新兴区块链平台并不意味着无安全隐患，哪怕拥有更现代的架构和安全承诺。

区块链安全公司 PeckShield 的数据显示，近期单月加密黑客损失达 12706 万美元，凸显 DeFi 和区块链平台遭受大规模攻击风险不断上升。这一数字仅为行业整体安全危机的缩影，安全基础设施亟待提升。

从大局看，近期加密攻击总损失约达 21 亿美元，几乎追平去年全年总额。趋势表明，尽管安全投入加大，攻击者的技术与手法也在不断进化，对区块链协议及用户资产安全构成持续威胁。

为何加密黑客频发

只有深刻理解加密领域持续存在安全漏洞的本质原因，才能制定有效对策、提升 DeFi 协议整体安全水平。行业专家认为，以下三大根本因素导致区块链平台与 DApp 屡遭攻击：

Immunefi 创始人兼 CEO Mitchell Amador 作为区块链漏洞赏金平台领军人物，结合丰富安全事件分析经验，总结出加密行业系统性安全挑战的三大关键要素：

静态审计： 很多区块链项目和 DeFi 协议严重依赖于上线前或重大更新时的一次性安全审计。虽然此举有助于发现早期漏洞，但只能反映协议在特定时点的安全状况。现实中，智能合约和 DeFi 协议不断升级、集成新协议、生态环境持续变化，随时可能引入新漏洞。初始审计未覆盖的弱点会随着协议动态演化和新型攻击向量的出现而暴露。因此，静态审计难以应对上线后实际运行中出现的安全问题。

忽视激励机制： 很多开发团队低估了 Web3 生态中攻击者强烈的经济动机。公开透明的区块链账本使攻击者易于发现高价值目标并分析协议机制，寻找漏洞。与传统金融的隐蔽性不同，区块链的透明反而便于攻击者精确计算潜在收益。协议需设立高额漏洞赏金机制，奖励高于黑市获利，鼓励白帽研究员主动披露漏洞而非亲自利用。

缺乏 Web3 专业知识： 很多新入局开发团队缺少 Web3 专业安全知识，与传统软件安全存在根本差异。许多成员来自 Web2 背景，未充分认识到区块链的可组合漏洞、预言机操控、抢跑攻击、智能合约代码不可更改等风险。知识短板导致架构和编码习惯在传统环境下安全，却在区块链场景中埋下隐患。

常见问题

Balancer 协议被利用的具体漏洞是什么？攻击者如何盗取 1.16 亿美元？

攻击者利用了 Balancer 池逻辑漏洞，通过 闪电贷 操纵代币价格计算，抽干了流动性池。通过复杂交易扭曲资产估值，攻击者在协议响应前横跨多个池提取了 1.16 亿美元。

本次 Balancer 漏洞影响了哪些用户和 流动性池？

漏洞波及了 Balancer 多个流动性池，主要影响在受损池中存入资产的用户。约 1.16 亿美元加密资产被盗，涉及多种代币交易对及流动性提供者。

Balancer 团队对此安全事件有何应对？是否有赔偿计划？

Balancer 团队已确认漏洞，暂停了受影响的池并展开调查，同时设立赔偿基金补偿受损用户，具体分配细节和时间表会逐步公布。

此漏洞反映了 DeFi 协议哪些安全风险？此前有类似事件吗？

本次漏洞突显了智能合约风险和 DeFi 审计不足。Curve Finance 与 Compound 也曾发生类似事件，暴露出流动性池和协议逻辑存在的风险，需加强代码审查标准。

投资者应如何评估 DeFi 平台安全性？使用 Balancer 等协议时应注意哪些防护措施？

建议通过智能合约审计、团队声誉、治理透明度评估 DeFi 平台安全。采取资产分散、核查合约地址、启用多签钱包、关注协议动态、从小额测试等风险管理策略。定期安全自查和社区反馈也很重要。

此漏洞会对整个 DeFi 生态和加密市场造成什么影响？

该漏洞将推动全行业加强安全审计和合约测试，短期或影响用户信心，但也会推动去中心化保险和多签安全机制的普及，提升行业整体韧性。

Balancer 安全性与 Uniswap、Curve 等主流 DeFi 协议相比如何？

Balancer 通过严格审计和去中心化治理维持行业领先的安全标准。虽然 2023 年漏洞暴露出风险，Balancer 已强化安全措施。Uniswap、Curve、Balancer 在审计流程上类似，但无一绝对安全，Balancer 仍在持续完善安全体系。