当市场低迷遇上黑客肆虐,DeFi领域再响警钟。11月3日,知名去中心化金融协议Balancer遭遇近年来最大规模安全漏洞,初步估计损失达1.166亿美元,这已是该协议五年来第六次重大安全事故。
在全球加密货币市场持续低迷的背景下,DeFi安全防线再度被攻破。11月3日,链上数据显示,老牌DeFi协议Balancer遭遇重大黑客攻击,约1.166亿美元资产被非法转移,引发行业对DeFi协议安全性的深度担忧。
一、 亿元资金不翼而飞,协议紧急应对
根据Lookonchain监测数据,攻击者将7090万美元资产转移至新钱包,包括6850枚osETH、6590枚WETH及4260枚wstETH。随着调查深入,总损失金额已攀升至1.166亿美元。
Balancer团队在事件发生后迅速回应:“已发现可能影响Balancer v2池的漏洞,工程和安全团队正优先调查此事。”官方同时提出愿意支付被盗资产20%作为白帽奖励,限时48小时内有效。
然而,对于熟悉Balancer历史的用户而言,这样的回应既视感强烈。成立于2020年的Balancer,在五年间已发生六次重大安全事故,平均每年一次,而本次则是其中损失最为惨重的一次。
二、 五年六次事故,安全漏洞触目惊心
2020年6月:通缩代币漏洞
协议上线仅三个月便遭遇首次攻击。黑客利用Balancer对STA等通缩代币处理不当的漏洞,通过闪电贷借入巨额ETH,反复交易耗尽池中资产,造成约52万美元损失。
2023年3月:Euler事件波及
Balancer成为其他协议漏洞的间接受害者。当Euler Finance遭遇1.97亿美元攻击时,Balancer的bb-e-USD池因持有Euler的eToken而受到牵连,损失约1190万美元。
2023年8月:精度漏洞再现
Balancer V2 Boosted Pool出现舍入误差漏洞,攻击者通过精确操纵使BPT供应量计算出现偏差,不正当提取池中资产,损失约210万美元。
2023年9月:DNS劫持攻击
黑客通过社会工程手段攻破域名注册商,劫持balancer.fi域名,建立钓鱼网站诱骗用户授权,造成约24万美元损失。
2024年6月:分叉项目受累
Balancer分叉项目Velocore因使用相同的CPMM池设计而遭遇攻击,损失约680万美元,暴露了底层设计可能存在的共性风险。
三、 最新漏洞:低级错误令人震惊
根据安全机构Defimon Alerts和Decurity的分析,本次漏洞位于Balancer V2协议的manageUserBalance函数访问控制检查中。
“系统在验证提款权限时,本应检查调用者是否是账户真正所有者,但代码错误地检查了msg.sender是否等于用户自己提供的op.sender参数。”区块链安全专家张诚向记者解释,“这意味着攻击者可以随意伪造身份,直接提取内部余额。”
如此基础的访问控制错误出现在运行五年的成熟协议中,令行业专家感到诧异。有分析认为,这反映出项目代码维护可能已处于失控状态。
四、 深度反思:DeFi繁荣背后的技术债务
Balancer作为创新性DeFi协议,其允许最多8种代币自定义权重组成混合池的设计确实颇具创意。然而,与Uniswap等简洁设计相比,Balancer的复杂性呈指数级增长。
“每增加一种代币,池子的状态空间就会急剧膨胀,攻击面也随之扩大。”技术分析师李静表示,“2020年的通缩代币攻击和2023年的舍入误差漏洞,本质上都是复杂性带来的边界条件处理不当。”
更值得关注的是,Balancer选择了快速迭代的发展路径。从V1到V2,再到各种Boosted Pool,每次升级都在旧代码上叠加新功能。这种“技术债务”的累积,让代码库变成了脆弱的积木塔。
随着DeFi世界依赖日益复杂的可组合性,风险评估变得几乎不可能。即使信任某个协议的代码,也难以确保其所有集成与合作伙伴的安全性。Balancer不会是最后一个遭遇重大攻击的DeFi协议,但行业希望,这1.166亿美元的学费能够真正唤醒对底层安全的重现。在创新与安全的平衡木上,DeFi行业仍有漫长的路要走。