北京时间11月3日3:48PM左右,链上数据监测平台突然发现:Balancer,一个老牌 DeFi 协议的金库地址,出现了异常的大额转账。
Etherscan显示,包括6,587枚WETH(约2450万美元)、6,851枚osETH(约2690万美元)及4,260枚wstETH(约1930万美元)在内的多链资产被转移至外部钱包。
Balancer 团队一直未发表声明,但多位链上分析师显示,这应该是一次潜在的漏洞利用或未经授权的提现,而非例行的流动性迁移。
包括Nansen在内的多家区块链分析提供商也已将这些交易标记为可疑交易。
据区块链安全机构PeckShield监测,攻击持续在以太坊等多链网络上持续进行。
截至北京时间4:48PM左右,攻击者地址(0x54B5…30d)通过调用函数0x8a4f75d6完成又一笔交易,Lookonchain确认总损失已超过1.16亿美元。
Trading Strategy联合创始人Mikko Ohtamaa指出,初步分析漏洞根源为智能合约检查机制缺陷。虽然并非所有Balancer版本受影响,但如果旧版V2分叉存在相同漏洞,总损失可能进一步上升。
这并不是 Balancer 第一次遭遇安全问题。
早在 2020 年,协议曾因未考虑“转账扣费”类代币的特殊行为,导致攻击者通过闪电贷操纵池子资产,造成约 50 万美元损失。
2023 年 8 月,Balancer V2 的 Boosted Pool 被发现漏洞,尽管官方预警,仍发生攻击,资金损失约 100 万美元。
同年 9 月,Balancer 的前端域名遭到 DNS 劫持,用户在钓鱼网站上签署交易后共计损失近 24 万美元。
如今,最新一轮攻击再次将 DeFi 安全问题推上风口浪尖。从合约设计到前端部署,从流动池逻辑到跨链资产管理,Balancer 面对的安全挑战似乎从未真正解决。
而且,Balancer 本就是一个流动性枢纽型协议,它出事,不只是自己出事。被套的 LP、依赖它的聚合器、资产池、策略 Vault……都会受到波及。
DeFi 世界讲究“无需信任”,但在一次又一次的漏洞利用面前,用户真正能信任的是什么?经历五年发展,DeFi 已不再是极客们的小圈子游戏,而是掌管着数十亿资金的金融基础设施。可惜的是,即便头部协议如 Balancer,也依然难逃旧患未除、新伤又至的宿命。
截至发稿,Balancer 官方仍未作出正式回应。Bitpush 正持续追踪事件进展,我们将第一时间同步最新动态,敬请保持关注。
Twitter:https://twitter.com/BitpushNewsCN
比推 TG 交流群:https://t.me/BitPushCommunity
比推 TG 订阅: https://t.me/bitpush
