Balancer（BAL）重大漏洞震撼 DeFi 生态：1.16 亿美元资金被盗，全网连锁反应启动

Balancer 遭骇

去中心化金融（DeFi）再次迎来黑暗时刻，2025 年 11 月 3 日，老牌流动性协议 Balancer（BAL） 被爆出重大安全漏洞，黑客在短短数小时内盗走超过 1.16 亿美元资产，这起事件迅速在链上社群引起恐慌，成为 DeFi 史上规模最大、影响最广的骇客攻击之一。

根据链上追踪资料显示，攻击者锁定 Balancer V2 智能合约的 Vault 模组，透过不当授权与回调漏洞操纵流动性池，达成未经授权的资产转移。此次事件并非私钥泄露，而是源自智能合约本身的逻辑缺陷。

以太坊成重灾区

（来源：lookonchain）

截至目前，据 Lookonchain 监测相关钱包地址，黑客已窃取超过 1.16 亿美元资金，资产分布横跨多条主流链，包括：以太坊主网、Arbitrum、Base、Sonic、Optimism，以及 Polygon 等。被盗资产主要包括 WETH、rETH、frxETH、osETH、rsETH 等多种流动性质押代币（LST），代表攻击者对跨链 DeFi 资产结构有极高熟悉度。

智能合约回调漏洞成关键

安全研究员指出，黑客在流动性池初始化阶段部署恶意合约，利用 Vault 授权检查不严与状态异常更新，成功绕过防护，让攻击者能跨池进行未授权 swap 或操控池内馀额，最终在短时间内完成资金转移。

审计机构 kebabsec 与多名开发者确认，此次事件的核心并非授权检查错误，而是发生在提取前的交易状态变更，导致合约在资产结算时被恶意利用。

相关生态反应

随著事件扩大，多个与 Balancer 有深度整合的协议陆续采取防御措施：

• Lido 迅速撤出其在 Balancer 上的未受影响头寸，以防风险扩散。

• Berachain 直接宣布暂停网路运作，并计画进行紧急硬分叉（hard fork） 修复 BEX 平台中与 Balancer V2 相关的漏洞。

Berachain 创办人 Smokey The Bera 透露，团队已与多家中心化交易所合作，确保黑客钱包列入黑名单，同时暂停桥接、借贷与 HONEY 铸造等功能，以保护流动性提供者资金。

加密巨鲸紧急撤资

（来源：lookonchain）

此次事件中，一个沉睡三年的钱包（0x0090） 成为焦点。据 Lookonchain 链上数据，该巨鲸在 Balancer 漏洞传出后立刻苏醒，并急忙提取超过 650 万美元的资产，这一举动被视为市场恐慌情绪的缩影，也反映出 DeFi 投资者在面对安全事件时的高度敏感反应。

追踪黑客行踪

链上分析师发现，黑客已开始透过 Cow Protocol 与多条链上的 DEX 平台，将被盗的 LST 资产逐步兑换成 ETH、USDC 等主流代币。例如，攻击者将 10 osETH 转换为 10.55 ETH，显示其正在采取洗钱与混币手法，增加追踪难度。

截稿前尚未有迹象显示资金能被追回，安全团队仅能透过地址封锁与链上监控进行防堵。

投资者该如何自保？

对于 Balancer 用户与 DeFi 投资者，目前建议采取以下行动：

• 立即撤出资金：从 Balancer V2 池中提领资产，避免损失扩大。

• 撤销授权：使用 Revoke.cash 或 DeBank 检查并取消 Balancer 相关授权。

• 监控风险：持续关注官方公告与链上追踪，警惕潜在连锁攻击。

总结

Balancer 的攻击事件再次揭示智能合约安全的脆弱性，DeFi 的核心价值在于去中心化与自我托管，但这也意味著责任完全落在用户与开发团队身上。未来，如何在创新与安全之间取得平衡，将决定整个去中心化金融的命运，这场危机或许会让 Balancer 伤痕累累，但也可能成为推动 DeFi 安全机制升级的重要契机。