DeFi协议Balancer遭黑客攻击，1.28亿美元被盗，27个分叉协议受影响：三大教训警示行业

作者：Frank，PANews

11月3日，DeFi领域遭遇了一场前所未有的危机。老牌DeFi协议Balancer的V2金库地址发生异常大额资金转移，短短数小时内，受损金额从最初的7000万美元飙升至1.166亿美元，最终稳定在1.2864亿美元。更令人震惊的是，这一漏洞不仅影响Balancer自身，还波及到多达27个基于其代码分叉的协议，引发了整个行业的连锁反应。

Balancer V2遭黑客攻击，1.28亿美元资金被盗

链上安全公司派盾率先注意到Balancer V2金库出现异常转账，大量封装以太坊（WETH）和流动性质押衍生品（wstETH, osETH）被转移到一个新钱包。Balancer团队迅速确认了链上攻击事件，并指出攻击范围被严格限制在V2可组合稳定池（Composable Stable Pools）。较新的V3架构及其他V2池类型（如权重池）未受影响。

截至11月4日，Balancer团队尚未公布具体攻击原因。但据Nansen链上分析师分析，此次攻击源于“有缺陷的访问控制检查”（faulty access-control check）。攻击者通过调用V2协议的manageUserBalance函数发送恶意指令，欺骗协议内部账本，使其误认为协议刚刚收取了一笔巨额费用，并将这笔费用的所有权归于攻击者。随后，攻击者通过正常提款流程将资产转移到自己的账户。

值得注意的是，这次攻击并非依赖高超的技术能力，而是巧妙利用了协议中的逻辑漏洞。有分析师推测，黑客可能借助AI大模型编写和审查代码，从而发现了人类审计师遗漏的缺陷。

27个分叉协议“躺枪”，各链启动应急措施

相比攻击手段的巧妙，更令行业失望的是，Balancer V2此前曾经过四家安全公司（OpenZeppelin、Trail of Bits、Certora 和 ABDK）总计11次审计，却仍未发现此次漏洞。更具讽刺意味的是，被利用的“可组合稳定池”组件曾在2022年9月接受过Certora和Trail of Bits的专项审计。

作为上线多年的成熟协议，Balancer V2已发展出27个分叉协议，这些协议也全部继承了相同的逻辑漏洞。对黑客而言，这相当于拥有了一把万能钥匙，可以随时打开这些同样存在缺陷的分叉协议金库。

攻击蔓延至多条区块链网络。其中，以太坊主网的Balancer V2受损最为严重，预估损失达1亿美元；Berachain的BEX协议损失约1286万美元；此外，Arbitrum、Base、Sonic等七条公链的协议也受到影响。

面对这场危机，行业陷入两难选择：是坚持“代码即法律”的去中心化原则，还是采取中心化干预保护用户？受灾最严重的Berachain选择了激进且争议性最大的措施——协调验证节点暂停整个网络运行，并通过回滚交易拯救了BEX交易所上面临风险的1200多万美元资产。

这一决定引发社区争议。有人质疑：“这是否会彻底损害‘链’的最终性与安全性？现在这更像是私有链而非公有区块链了吧？”对此，Berachain匿名联合创始人Smokey the Bera回应道：“我认为你的担忧是合理的，但我相信非常情况需要非常手段——我们过去在Sui和Hyperliquid等案例中也见过类似做法。”

大多数社区成员支持这一决定，毕竟损失惨重的资金池带来的恶性影响可能远大于所谓的“去中心化”信仰。

Sonic链则激活了“链上账户冻结机制”，在不停止网络的情况下锁定攻击者的钱包及其中的340万美元资金。Polygon的验证节点开始主动“审查”来自攻击者地址的交易。

多次漏洞事件导致信任危机，TVL腰斩

Balancer的发展史实际上是一部与复杂逻辑漏洞不断博弈的历史。自2020年以来，Balancer至少遭遇五次漏洞事件，受损金额通常在几十万美元到200万美元之间。然而，这次预估损失过亿的攻击直接击溃了市场对Balancer的信任。

根据Defillama数据显示，攻击发生后，Balancer的总锁仓价值（TVL）从7.76亿美元骤降至3.45亿美元，降幅超过一半。尤其是Balancer V2的TVL减少了2.3亿美元，其分叉协议也纷纷撤资，其中Gaming DEX的TVL在一天内下降了87%，Beets DEX下降了48%。

Lido表示，虽然其协议未受影响，但出于谨慎考虑已撤出未受影响的Balancer头寸。像Gaming DEX这样的分叉协议虽未受到实际影响，但也为安全起见撤出了大部分资金。

截至11月4日，StakeWise DAO通过多签协议合约调用从黑客手中追回了超过2000万美元损失，使最终受损金额降至9800万美元。同时，黑客资产的转移仍在进行中，已有超过一半被换成ETH。

这场代价高昂的攻击为DeFi行业敲响警钟，并提出三个尖锐问题：

1、当“黄金标准”的11次审计都无法发现潜伏两年的致命漏洞时，“审计”的意义何在？

2、当“代码传染病”成为常态，一个基础协议的漏洞可以瞬间摧毁27个衍生协议时，DeFi的可组合性是创新还是诅咒？

3、当新兴公链被迫在“去中心化”和“拯救用户”之间做出选择时，“代码即法律”的理想是否已经让位于“务实的中心化”？

未来，DeFi的安全可能不再仅仅依赖于更多的审计，而是需要更简单、更稳健、从根本上减少攻击面的协议设计。而对于那些在这次事件中失去信任和资本的用户来说，这种领悟的代价无比沉重。