請注意，原文內容為英文。部分翻譯內容由自動化工具生成，可能不完全準確。如中英文版本存在任何不一致之處，以英文版本為準。

Balancer 被駭：1.16 億美元漏洞與 DeFi 安全——發生了什麼？

By: WEEX|2025/10/27 16:00:00

關鍵要點
2025 年 11 月 3 日發生的 Balancer 被駭事件導致超過 1.16 億美元的損失，成為今年最大的 DeFi 安全漏洞事件之一。
此次事件僅影響了七個不同區塊鏈（以太坊、Arbitrum、Base、Sonic、Polygon、Optimism 和 Berachain）上的 Balancer V2 資金池。
攻擊者利用「manageUserBalance」函數中的存取控制漏洞，在未經授權的情況下從金庫中提取資金。
V3 資金池保持安全——團隊已確認僅舊版本受到影響。
儘管經過了廣泛的審計，DeFi 平台仍然容易受到智能合約漏洞和技術攻擊的影響。

簡介

2025 年 11 月 3 日發生的 Balancer 被駭事件是今年最大的 DeFi 安全漏洞之一，它凸顯了加密生態系統中的一個根本性問題。

隨著超過 1.16 億美元資產被盜，Balancer V2 資金池中的安全漏洞被曝光，影響了七個不同區塊鏈上的用戶。

但核心問題在於：如果連經過 OpenZeppelin 和 Trail of Bits 審計的協議都可能被駭，您的資金在去中心化交易所（DEX）上真的安全嗎？

在本文中，您將確切了解發生了什麼、駭客是如何操作的，以及您現在應該採取哪些實際措施。

立即在 WEEX 註冊——您的安全加密交易所！ 憑藉最先進的安全措施、專業審計和 24/7 全天候監控，您的資產在我們這裡得到妥善保護。立即免費註冊！

發生了什麼？Balancer 被駭事件概覽

2025 年 11 月 3 日 UTC 時間約 9:18，DeFi 協議 Balancer 遭遇了大規模攻擊。

區塊鏈安全公司 PeckShield 最先識別出可疑交易，大量質押的 ETH 代幣從 Balancer 金庫中被抽走。

被盜資產主要包括 6,587 WETH (Wrapped Ether)、6,851 osETH (StakeWise Staked ETH) 和 4,260 wstETH (Lido Wrapped Staked ETH)——總價值超過 1.16 億美元。

攻擊不僅限於單一區塊鏈，而是跨越了多個網路：

以太坊（損失約 1 億美元）、Arbitrum、Base、Sonic、Polygon、Optimism 和 Berachain 均受到影響。

最令人擔憂的是：攻擊持續了數小時，而安全公司在實時追蹤這些交易。

技術深度解析：漏洞是如何運作的？

BlockSec 和其他區塊鏈安全專家的技術分析顯示，攻擊者利用了 Balancer 「manageUserBalance」函數 中的一個關鍵漏洞。

安全漏洞解釋

問題在於驗證函數中存在一個 存取控制缺陷。

通常，系統應嚴格驗證訊息發送者是否與操作發送者匹配。

然而，該漏洞允許未經授權的各方通過「UserBalanceOpKind.WITHDRAW_INTERNAL」操作執行內部餘額提現——完全無需必要的授權。

Balancer 的金庫架構作為攻擊目標

Balancer V2 使用了一種獨特的 金庫架構，其中來自每個資金池的所有代幣都保存在一個智能合約中——即金庫。

這種創新方法將代幣核算與資金池邏輯分離，使資金池效率更高。

然而，這種中心化也創造了一個極具吸引力的高價值目標：對金庫的成功攻擊可以同時影響多個資金池。

受影響的資產與協議

Portfolio of the Balancer hacker with $116.6 million, 85% of which is on Ethereum, the rest on Arbitrum, Base, Sonic, OP, Polygon.

損失主要集中在 質押 ETH 變體 上，這些代幣因其流動性在 DeFi 協議中特別受歡迎。

被盜資產概覽：

對用戶而言重要的一點：僅 Balancer V2 資金池受到影響。

團隊明確確認 Balancer V3 資金池是安全的，並未受到損害。

然而，其他鏈上的 Balancer 分叉項目 也遭到了攻擊，包括 Sonic 鏈上的 Beets Finance 和 Optimism 上的 Beethoven。

Berachain 基金會甚至不得不暫停整個網路並執行緊急硬分叉以隔離受損合約。

DeFi 平台的通用駭客風險

Balancer 被駭並非孤例——它加入了 2025 年已造成超過 20 億美元 損失的 DeFi 攻擊名單。

為什麼 DeFi 平台如此脆弱？

智能合約漏洞 智能合約是 DeFi 的支柱，但其不可篡改的特性使其容易受到攻擊。

一旦部署，錯誤就無法輕易修復。

常見漏洞包括重入攻擊、整數溢出和存取控制錯誤。

閃電貸攻擊 閃電貸允許用戶在無需抵押的情況下借入大量加密貨幣——只要在同一筆交易內償還即可。

攻擊者利用這一機制操縱價格或利用協議弱點。

2023 年，基於閃電貸的攻擊已佔所有 DeFi 攻擊的 62.5%。

預言機操縱 DeFi 協議依賴外部數據源（預言機）獲取價格數據。

如果這些數據被操縱，攻擊者可以以錯誤的價格交易資產並耗盡流動性。

透明度陷阱 DeFi 的開源性質是一把雙刃劍：雖然它實現了社區審查，但也讓攻擊者能夠完全洞察潛在的弱點。

駭客可以研究合約邏輯、模擬攻擊並在發起攻擊前識別漏洞。

儘管有專業審查，審計仍告失敗

特別令人擔憂的是：Balancer 曾由 OpenZeppelin、Trail of Bits 和 Certora 等領先的安全公司進行審計。

然而，關鍵漏洞仍被忽略了。

這表明即使是廣泛的審計也無法保證 100% 的安全——特別是對於具有多鏈部署的複雜 DeFi 協議而言。

用戶現在應該做什麼？

如果您使用過 Balancer V2 資金池，則需要 立即採取行動：

檢查您的頭寸 核實您是否在受影響的 V2 資金池中有資產。

V3 資金池是安全的，無需採取任何行動。

撤銷權限 使用 revoke.cash 等工具撤銷對 Balancer 合約的代幣授權。

這可以防止潛在的未來攻擊存取您的錢包。

提取資金 如果可能，請從受影響的資金池中提取剩餘資產。
監控與更新 關注 Balancer 官方渠道，獲取有關調查和潛在補償的最新信息。

團隊正在與安全公司合作以減輕損失。

Balancer 過去的被駭事件

這並非 Balancer 首次發生安全事件：

2020 年： 由於閃電貸攻擊，攻擊者利用通縮代幣機制導致 50 萬美元 損失。

2023 年（8 月）： V2 Boosted Pools 中的漏洞導致線性池合約中的捨入錯誤，造成 100-200 萬美元 損失。

2023 年（9 月）： 通過域名註冊商 EuroDNS 發起的 DNS 社會工程攻擊 將用戶重定向到釣魚網站，導致 23.8 萬美元 損失。

2025 年（11 月）： 當前涉及 1.16 億美元 的攻擊是 Balancer 歷史上最大的一次被駭事件。

這一軌跡顯示出安全事件不斷升級的令人擔憂的模式——儘管安全措施在持續改進。

結論：DeFi 安全仍是重中之重

Balancer 被駭事件凸顯了 DeFi 中持續存在的安全挑戰。

即使經過多次專業審計，關鍵漏洞仍可能被忽略——特別是在具有多鏈部署的複雜智能合約系統中。

對於投資者而言，這意味著：盡職調查不可或缺。

查看審計報告，偏好具有良好記錄的成熟協議，在多個平台之間進行多元化配置，並為大額持倉使用硬體錢包。

DeFi 行業正在取得進展：自 2020 年以來，借貸協議的安全性提高了 98.4%。

然而，只要智能合約是由人類編寫的，錯誤就仍然可能發生。

關鍵在於持續的警惕、定期的安全更新和有意識的風險管理。

在 WEEX，您的安全是我們的首要任務！ 立即開設帳戶，享受最高標準，並以最佳方式保護您的加密資產。
保護您的帳戶！

常見問題解答 (FAQ)

Balancer V3 資金池安全嗎？

是的，團隊已確認僅 V2 資金池受到影響，V3 資金池沒有任何安全漏洞。

受影響的用戶會獲得退款嗎？

目前還沒有官方公告。團隊正在繼續調查該事件，並與安全公司合作。

我如何檢查我的資金池是否受到影響？

請在 Balancer 官方網站或通過 Etherscan 等區塊鏈瀏覽器查看您的流動性頭寸是否在 V2 資金池中。V2 資金池是主要風險點。

哪些區塊鏈受到了影響？

以太坊（損失最大，約 1 億美元）、Arbitrum、Base、Sonic、Polygon、Optimism 和 Berachain。

其他 DeFi 協議會以類似方式被攻擊嗎？

是的，任何具有類似金庫架構或存取控制漏洞的協議都可能受到影響。在不同鏈上至少存在 27 個 Balancer 分叉項目，其中許多可能存在潛在漏洞。

Balancer 現在正在採取什麼措施來防止未來的駭客攻擊？

團隊正在為受影響的合約開發補丁並進行增強的安全審計。詳細信息將通過官方渠道傳達。

與中心化交易所相比，DeFi 平台的安全性如何？

DeFi 平台具有不同的風險狀況：智能合約風險而非託管風險。自 2020 年以來，DeFi 安全標準已顯著提高，成熟借貸協議中的事故減少了 98.4%。

WEEX | DACH 地區加密交易所的後起之秀

WEEX 結合了安全性、創新性和社區功能，為初學者和專業人士提供服務：

安全與保護

1,000 BTC 保護基金：自籌資金儲備，用於在特殊情況下快速保護損失

交易與賺幣

自動賺幣 (Auto Earn)：每日自動賺取 USDT，無需費心
跟單交易：自動跟隨精英交易員，或 申請成為精英交易員 以獲得額外收益
WE-Launch：搶先體驗新項目——WEEX 用戶專屬

福利與獎勵

促銷與獎勵：為活躍用戶提供交易競賽和特別獎金
聯盟計劃：從新用戶處獲得終身佣金——詳情點擊此處
VIP 福利：為高頻交易者提供最低費率、市場洞察和個人支持
WXT 代幣：費率折扣、空投和獨家平台福利

在 WEEX 現貨 探索當前趨勢並立即開始：立即註冊

免責聲明——來自 WEEX 交易所的法律聲明

WEEX 及其關聯公司僅在合法地區向符合條件的用戶提供數字資產交易服務，包括衍生品和保證金交易。所有內容均為一般信息，不構成財務建議——交易前請尋求獨立建議。加密貨幣交易涉及高風險，可能導致全部損失。使用 WEEX 服務即表示您接受所有相關風險和條款。切勿投資您無法承受損失的金額。更多信息請參閱我們的 使用條款 和 風險披露。