Balancer协议V2池遭黑客攻击 损失超1.28亿美元

Balancer 协议宣布其V2 流动性池遭到黑客攻击，据报道，此次攻击造成的损失预计超过1.28 亿美元。

Balancer是一个基于以太坊区块链构建的去中心化金融（DeFi）协议，兼具自动做市商和流动性基础设施层功能。该协议提供了灵活的流动性池，支持自定义代币组合。用户可以存入资产赚取手续费，交易者可以进行资产互换。该协议由BAL 代币管辖，事件发生前该代币的市值为6500 万美元。

Balancer尚未透露有关该事件的太多细节，但已警告用户警惕潜在的诈骗或网络钓鱼攻击。协议已确认V2可组合稳定池遭受漏洞利用攻击，该问题并未影响包括V3在内的任何其他Balancer流动性池。

攻击原因存在争议目前对于攻击的具体原因尚无统一结论。据GoPlus Security分析，Balancer V2中利用的漏洞源于金库（Vault）交换交易计算过程中的精确舍入错误。每个交换操作都会向下舍入代币数量，从而产生可被攻击者重复利用的小偏差。通过批量交换功能级联多笔交易，这些舍入损失将累积形成巨大的价格扭曲，最终被攻击者利用。

使用缩放因子标准化标记数量

一些自称了解内幕的用户表示，此次攻击源于Balancer V2金库内的不当授权和回调处理漏洞。据报道，攻击者恶意部署的合约在流动性池初始化阶段操纵资金池，成功绕过安全保护措施，实现跨相关池的未授权互换和余额控制。

Balancer 承诺“尽快分享更多攻击细节和完整的事后分析报告”。值得注意的是，自2021年以来，Balancer V2已经历了11次安全审计，每次审计的范围各不相同。

网络钓鱼企图冒充官方与此同时，一些不法分子试图利用此事件牟取金钱。 ——冒充Balancer官方联系黑客，提出“白帽赏金”计划：如果黑客同意将剩余赃款返还至指定地址，则将获得被盗金额20%的奖励。

网络钓鱼消息措辞谨慎，并使用多种设计来创造可信度，包括明确的奖励比例、设定的截止日期和附带的威胁。整个过程都是用谈判的态度来迫使黑客立即配合。

如果黑客拒绝交易，冒充Balancer 的诈骗者就会威胁使用从区块链取证专家、执法机构和监管合作伙伴获得的所有信息来定位并起诉攻击者。

此次Balancer攻击是2025年最大的加密货币盗窃事件之一。此次攻击的责任方尚未确定，但去中心化金融（DeFi）领域机构面临的最大威胁来自朝鲜黑客团体。

截至今年10月，朝鲜黑客窃取的加密货币金额已超过20亿美元，其中最大的一笔是2月份的Bybit交易所攻击事件，当时黑客窃取了15亿美元的加密货币。