Balancer（BAL）重大漏洞重創 DeFi 生態：1.16 億美元資金失竊，引發全網連鎖反應

Balancer 遭駭

去中心化金融（DeFi）再度陷入黑暗時刻，2025年11月3日，老牌流動性協議 Balancer（BAL）爆發重大安全漏洞，駭客於數小時內盜取逾1.16億美元資產，此事件迅速在區塊鏈社群引發恐慌，成為 DeFi 歷史上規模最大、影響最廣的駭客攻擊之一。

區塊鏈追蹤資料顯示，攻擊者鎖定 Balancer V2 智能合約的資產庫模組，透過不當授權與回調漏洞操控流動性池，實現未經授權的資產轉移。此次事件並非因私鑰外洩，而是來自智能合約本身的邏輯缺陷。

以太坊成重災區

（來源：lookonchain）

截至目前，根據 Lookonchain 監測相關錢包地址，駭客將資產分散至多條主流鏈，包括以太坊主網、Arbitrum、Base、Sonic、Optimism 與 Polygon 等，竊取超過1.16億美元資金。遭竊資產主要為 WETH、rETH、frxETH、osETH、rsETH 等多種流動性質押代幣（LST），顯示攻擊者對跨鏈 DeFi 資產結構有極高熟悉度。

智能合約回調漏洞成為關鍵

安全研究員指出，駭客在流動性池初始化階段部署惡意合約，利用資產庫授權檢查鬆散與異常狀態更新，成功繞過防護，讓攻擊者能跨池進行未授權兌換或操控池內餘額，最終於短時間內完成資金轉移。

審計機構 kebabsec 與多位開發者證實，此次事件核心並非授權檢查錯誤，而是發生於提領前的交易狀態變化，導致合約於資產結算時遭惡意利用。

相關生態反應

隨著事件擴大，多個與 Balancer 深度整合的協議已陸續採取防禦措施：

• Lido 迅速撤回其於 Balancer 上未受影響的資產部位，以防範風險擴大。
• Berachain 宣布暫停網路運作，並規劃緊急進行硬分叉，以修復 BEX 平台涉及 Balancer V2 的相關漏洞。

Berachain 創辦人 Smokey The Bera 指出，團隊已與多家中心化交易所合作，將駭客錢包納入黑名單，並暫停橋接、借貸及 HONEY 鑄造等功能，以保障流動性提供者資金安全。

加密巨鯨緊急撤資

（來源：lookonchain）

本事件中，一個已沉睡三年的錢包（0x0090）成為焦點。根據 Lookonchain 區塊鏈數據，該巨鯨在 Balancer 漏洞曝光後立刻甦醒，並火速提領逾650萬美元資產。此舉被視為市場恐慌的縮影，也反映 DeFi 投資者對安全事件的高度敏感反應。

追蹤駭客行蹤

區塊鏈分析師發現，駭客已開始透過 Cow Protocol 與多條鏈上的 DEX 平台，將遭竊的 LST 資產逐步兌換為 ETH、USDC 等主流代幣。例如，攻擊者將 10 osETH 兌換成 10.55 ETH，顯示其正採用洗錢與混幣技術，提升追蹤難度。

目前尚無資金追回跡象，安全團隊僅能透過地址封鎖與區塊鏈監控進行阻擋。

投資者該如何自保？

針對 Balancer 用戶與 DeFi 投資者，請儘速執行下列措施：

• 撤資：自 Balancer V2 池提領資產，防止損失擴大。
• 撤銷授權：使用 Revoke.cash 或 DeBank 檢查並取消 Balancer 相關授權。
• 監控風險：密切留意官方公告與區塊鏈追蹤，警覺潛在連鎖攻擊。

總結

本次 Balancer 攻擊事件再次凸顯智能合約安全的脆弱性。DeFi 的核心價值在去中心化與自我託管，但同時也意味著所有責任落在用戶與開發團隊身上。未來如何在創新與安全之間取得平衡，將決定整個去中心化金融的發展命運。此次危機雖使 Balancer 面臨重大挑戰，也促使 DeFi 安全機制加速升級。