Balancer漏洞引发1.29亿美元资产被盗，成DeFi领域最大跨链攻击事件

• 2025年11月3日
• |
• 18:55

去中心化金融（DeFi）领域再次遭受重创，业内领先的流动性协议之一Balancer遭遇了一次复杂的黑客攻击，导致价值约1.29亿美元的资产被盗。

此次攻击波及多个区块链网络，包括以太坊、Base、Optimism、Polygon、Sonic和Berachain，促使验证者和开发者紧急采取应对措施。

根据最初的链上数据显示，攻击者迅速转移了质押以太坊代币，表明这是一起有组织的攻击，而非孤立的漏洞。安全分析师报告称，攻击源自Balancer V2金库智能合约权限中的一个缺陷，该缺陷使得黑客能够操纵内部交易并绕过安全检查。

我们注意到Balancer v2池可能存在漏洞。

我们的工程和安全团队正在高度优先地进行调查。

一旦我们掌握更多信息，我们将立即分享已核实的最新消息和后续步骤。

— Balancer (@Balancer)2025年11月3日

显而易见的漏洞

调查显示，攻击者利用恶意合约在资金池创建期间拦截并重定向金库操作，利用了回调进程未被正确限制的漏洞。这一疏忽导致未经授权的代币转移。流动性在余额更新之前，资金池中的资金便被迅速耗尽，短短几分钟内就将整个网络的资金洗劫一空。

此次攻击影响了多种代币，包括WETH、osETH、wstETH、sfrxETH和rsETH——其中大部分与以太坊的流动性质押生态系统相关。

区块链追踪器显示，一个此前处于非活跃状态的鲸鱼钱包在攻击发生后突然活跃起来，并从Balancer提取了超过700万美元。

来自Berachain验证者的紧急响应

受影响最严重的组织之一是Berachain，其Bera基金会迅速采取行动，暂停了该网络并启动了紧急抢修。验证者同意暂停区块链，以防止在恢复程序进行期间进一步的攻击。

社区确认的几个DeFi合作伙伴，包括Ethena，已暂时关闭与Balancer基础设施相关的借贷和桥接业务。同时，他们也联系了各大交易所平台，要求将与攻击者有关的可疑地址列入黑名单，以限制被盗资金的流动。

市场冲击波及BAL、BERA和质押代币

漏洞曝光的消息震惊了市场。Balancer的原生代币BAL在数小时内下跌超过10%，跌破0.90美元。Berachain的原生代币BERA也下跌了约7%。与此同时，由于用户争相抛售流动性头寸，这两种资产的交易量均出现大幅飙升。

与流动性质押相关的代币——例如LDO、RPL和JTO——经历了突然的下跌。以太坊价格一度下跌超过4%，跌至3686美元左右，之后在当天晚些时候趋于稳定。

DeFi安全性再次受到审查

Balancer漏洞事件再次引发了关于DeFi是否已准备好被机构规模采用的争论。尽管经过多年的审计和广泛应用，DeFi的复杂漏洞仍然存在。智能合约依然面临系统性风险。分析师指出，此次攻击涉及多条链，凸显了相互关联的DeFi协议在其中一个组件出现故障时如何放大损害。

随着调查的深入，Balancer团队和外部审计人员正在努力追踪被盗资金并确定肇事者身份。目前，此次黑客攻击是2025年规模最大、技术最先进的DeFi安全漏洞之一——这也提醒我们，即使是成熟的协议也无法免受去中心化金融领域不断演变的威胁。

---