北京時間11月3日3:48PM左右,鏈上數據監測平臺突然發現:Balancer,一個老牌 DeFi 協議的金庫地址,出現了異常的大額轉賬。
Etherscan顯示,包括6,587枚WETH(約2450萬美元)、6,851枚osETH(約2690萬美元)及4,260枚wstETH(約1930萬美元)在內的多鏈資產被轉移至外部錢包。
Balancer 團隊一直未發表聲明,但多位鏈上分析師顯示,這應該是一次潛在的漏洞利用或未經授權的提現,而非例行的流動性遷移。
包括Nansen在內的多家區塊鏈分析提供商也已將這些交易標記為可疑交易。
據區塊鏈安全機構PeckShield監測,攻擊持續在以太坊等多鏈網絡上持續進行。
截至北京時間4:48PM左右,攻擊者地址(0x54B5…30d)通過調用函數0x8a4f75d6完成又一筆交易,Lookonchain確認總損失已超過1.16億美元。
Trading Strategy聯合創始人Mikko Ohtamaa指出,初步分析漏洞根源為智能合約檢查機制缺陷。雖然並非所有Balancer版本受影響,但如果舊版V2分叉存在相同漏洞,總損失可能進一步上升。
這並不是 Balancer 第一次遭遇安全問題。
早在 2020 年,協議曾因未考慮“轉賬扣費”類代幣的特殊行為,導致攻擊者通過閃電貸操縱池子資產,造成約 50 萬美元損失。
2023 年 8 月,Balancer V2 的 Boosted Pool 被發現漏洞,儘管官方預警,仍發生攻擊,資金損失約 100 萬美元。
同年 9 月,Balancer 的前端域名遭到 DNS 劫持,用戶在釣魚網站上籤署交易後共計損失近 24 萬美元。
如今,最新一輪攻擊再次將 DeFi 安全問題推上風口浪尖。從合約設計到前端部署,從流動池邏輯到跨鏈資產管理,Balancer 面對的安全挑戰似乎從未真正解決。
而且,Balancer 本就是一個流動性樞紐型協議,它出事,不只是自己出事。被套的 LP、依賴它的聚合器、資產池、策略 Vault……都會受到波及。
DeFi 世界講究“無需信任”,但在一次又一次的漏洞利用面前,用戶真正能信任的是什麼?經歷五年發展,DeFi 已不再是極客們的小圈子游戲,而是掌管著數十億資金的金融基礎設施。可惜的是,即便頭部協議如 Balancer,也依然難逃舊患未除、新傷又至的宿命。
截至發稿,Balancer 官方仍未作出正式回應。Bitpush 正持續追蹤事件進展,我們將第一時間同步最新動態,敬請保持關注。
Twitter:https://twitter.com/BitpushNewsCN
比推 TG 交流群:https://t.me/BitPushCommunity
比推 TG 訂閱: https://t.me/bitpush
