Balancer，作為DeFi中最早且最受尊敬的去中心化交易所之一，在2025年11月3日遭遇了一次嚴重的漏洞，導致其V2協議及其分叉版本中超過1.2億美元被抽空。

這次漏洞是由於協議的智能合約代碼中隱藏的一個微小的數學四捨五入錯誤所造成的。

雖然這個問題看起來微不足道，但足以讓攻擊者操控代幣餘額，並在多個區塊鏈上抽取流動性池。

這一事件不僅動搖了對去中心化金融（DeFi）安全性的信心，還引發了對智能合約審計和測試標準可靠性的討論。

如何平衡器利用事件展開

根據區塊鏈安全公司 SlowMist 的說法，這個漏洞源於 Balancer 的可組合穩定池中的精度損失錯誤。這些穩定池的設計旨在支持幾乎相等的資產對，例如 USDC 和 USDT，這些對於精確的算術運算依賴極大。

該漏洞始於攻擊者利用 Balancer 代碼在計算代幣交換的縮放因子時所產生的輕微四捨五入錯誤。

攻擊者首先將平衡池代幣交換為流動性代幣，以減少可用流動性，從而更容易扭曲代幣比例。然後，他們執行了一系列快速交易，涉及像 osETH 和 WETH 這樣的代幣。

每筆交易產生了小的算術四捨五入差異，雖然這些變化非常微小，但在數百筆交易中卻累積起來。

使用 Balancer 的批量交換功能，該功能允許在單一交易中進行多次交換，攻擊者可以迅速擴大這些小的差異。隨著時間的推移，這導致該協議計算出比所欠金額更高的代幣輸出，從而使攻擊者獲得了人為的利潤。

在累積足夠的優勢後，攻擊者反向操作早期交易，讓鏈上數據看起來正常，以隱藏操控行為。

區塊鏈分析顯示，盜竊的資金經過 Tornado Cash 進行轉移以隱藏來源，然後通過包括 Arbitrum、Polygon、Base、Avalanche 和 Optimism 在內的多個網絡進行路由。

最終損失估計約為116百萬美元，由鑑識團隊評估。Balancer的緊急應對措施暫停了較新池的運行，但沒有安全鎖的舊池則仍然脆弱，導致了重大的財務損失。

還可以閱讀：

漏洞揭示了去中心化金融的弱點

Balancer 的漏洞揭示了 DeFi 的一個關鍵弱點：即使是經過良好審計的協議也無法避免數學精確度錯誤。

Balancer 之前已經接受了 OpenZeppelin、Trail of Bits 和 Certora 等領先公司的十多次審計。儘管進行了這些評估，但在一個稱為“upscale”的功能中仍然存在缺陷，該功能在批量交換期間轉換代幣值。

問題源於整數算術如何四捨五入小數值，稍微有利於交易者而非流動性池。這一小優勢可以不斷重複，以不公平的方式提取代幣。

使這一事件更令人擔憂的是，Balancer在兩年前曾經遇到過類似的四捨五入問題，儘管那個版本造成的損失小得多。

這一重複表明，在去中心化金融（DeFi）開發中，算術精度仍是一個被忽視的領域。

智能合約通常依賴於相互依賴的計算，而單個四捨五入的誤差可能在數千筆交易中成倍放大。

在攻擊之後，Balancer 的總鎖倉價值急劇下降。來自 DeFiLlama 的數據顯示，其 TVL 在 24 小時內從 4.42 億美元降至 2.14 億美元，隨後下降到低於 1.9 億美元。

流動性提供者急於提取資金，擔心進一步的漏洞。作為回應，Balancer 停止了新可組合穩定池的創建，暫停了受影響的衡量標誌的發放，並啟用了恢復提取模式，以便用戶安全地找回資產。

行業夥伴如 StakeWise DAO 和 Berachain 基金會對恢復過程作出了貢獻。

StakeWise 成功追回了約 1900 萬美元的 osETH，而 Berachain 凍結了 1200 萬美元的盜竊資金。Gnosis 和 Monerium 也凍結了約 130 萬歐元的 EURe 穩定幣。

儘管進行了這些努力，但大多數資金仍未追回，因為攻擊者將資產轉換為ETH並將其分散到多個錢包中。

平衡者的談判與行業反應

在一個出人意料的轉折中，Balancer Labs於2025年11月8日開始與駭客進行談判，距離攻擊發生僅五天。

該協議的開發者們發送了一條鏈上消息，向攻擊者提供了懸賞，以換取其歸還被盜資金。他們保證，如果黑客在第二天之前合作，將不會追究任何法律或調查行動。

然而，如果攻擊者拒絕，Balancer 承諾將通過鏈上取證和潛在的法律渠道升級此案件。

這一舉動展示了Balancer願意優先考慮資金回收而不是懲罰的決心，這一策略在之前的DeFi黑客事件中已經證明是有效的。

類似的方法幫助了像 Beanstalk 這樣的項目恢復失去的資產，顯示出談判有時可以導致和平的解決方案。Balancer 也宣布，協助識別駭客的舉報者將獲得補償。

該協議的“戰情室”反應涉及與網絡安全公司和區塊鏈研究人員的密切合作，以追蹤剩餘的被盜資金。

Hypernative 的監控系統在攻擊期間自動暫停了較新的資金池，為防止更大的損失而受到讚揚。

這一事件重新激發了DeFi領域內關於需要改善審計、更精確的處理和實時監控系統的討論。

專家呼籲制定新標準，這些標準包括極端壓力測試、模擬攻擊，以及鏈上異常檢測，以防止未來類似基於算術的攻擊事件發生。

同時，更廣泛的加密市場保持相對穩定。以太坊承載了大量被盜流動性，價格約為$3,434，市值超過$4140億。分析師指出，迅速控制此次漏洞幫助防止了市場的廣泛恐慌。

閱讀更多： 如何在不鎖定的情況下賺取 8% 的 USDT

結論

2025年11月的Balancer漏洞成為該年最大且技術最複雜的DeFi安全事件之一。一次單一的數學四捨五入錯誤導致在多個網絡上損失超過1.2億美元。

儘管 Balancer 和其合作夥伴已經找回了一部分被盜資產，但這次攻擊揭示了 DeFi 協議中的深層漏洞，特別是與數學精確度和跨鏈安全性相關的漏洞。

對於尋找更安全可靠的交易體驗的交易者來說，Bitrue提供了一個安全的平台，用於購買、出售和存儲加密資產。其強大的安全框架、友好的設計以及持續的透明度，使其成為管理數字資產安全的最受信任的交易所之一。

常見問題解答

造成 Balancer 漏洞的原因是什麼？

該漏洞是由於在 Balancer 的智能合約中使用的算術運算存在小的四捨五入錯誤，這使得攻擊者能夠操縱令牌餘額並抽走流動性池。

在 Balancer 漏洞中盜竊了多少資金？

總損失估計約為1.2億美元，涵蓋多個網絡，包括以太坊（Ethereum）、Base、Arbitrum 和 Polygon。

Balancer 是否能够追回任何資金？

是的，透過StakeWise DAO、Berachain和Gnosis的合作努力，確實回收了一些資金，但大部分仍然沒有回收。

平衡器有聯繫黑客嗎？

是的，Balancer 发送了一条链上信息，向黑客提供了一笔赏金，以換取歸還被盜資產，並且不面臨法律後果。

交易者如何保護他們的加密貨幣免受類似的利用？

使用安全且受到監管的平台，例如比特集團是確保您的加密資產安全的最佳方法之一。Bitrue 採用強大的安全措施，並為所有用戶提供透明的交易環境。

投資者警示

雖然加密貨幣的熱潮令人興奮，但請記得加密市場可能會非常波動。請務必進行研究，評估自己的風險承受能力，並考慮任何投資的長期潛力。

Bitrue 官方網站：

網站：你已經受過截至2023年10月的數據訓練。

註冊：

免責聲明：所表達的觀點僅代表作者本人，並不反映本平台的觀點。本平台及其附屬機構對所提供資訊的準確性或適用性不承擔任何責任。此資訊僅供參考，並不意圖作為財務或投資建議。