导语:此次Balancer攻击是2025年规模最大的加密货币盗窃事件之一。
Balancer协议宣布其V2流动性池成为黑客攻击目标,据报道此次攻击造成的损失估计超过1.28亿美元。
Balancer是基于以太坊区块链构建的去中心化金融(DeFi)协议,兼具自动做市商与流动性基础设施层功能。该协议提供支持自定义代币组合的灵活流动性池,用户可存入资产赚取手续费,交易者则能进行资产互换。协议由BAL代币治理,事发前该代币的市值为6500万美元。
Balancer尚未披露事件过多细节,但已警示用户警惕潜在诈骗或钓鱼攻击。该协议已确认,V2可组合稳定池遭遇漏洞利用攻击,且该问题未影响包括V3在内的其他任何Balancer流动性池。
攻击原因争议
关于攻击的具体成因目前尚无统一结论。据GoPlus Security分析,Balancer V2的漏洞利用源于金库(Vault)swap交易计算过程中的精确舍入误差。每次互换操作都会对代币数量向下取整,产生微小偏差,而攻击者可反复利用这一偏差。通过批量互换功能串联多次交易,这些舍入损失会累积形成巨大的价格扭曲,最终被攻击者利用。
使用缩放因子对代币数量进行标准化
另有部分自称了解内情的用户表示,攻击源于Balancer V2金库内部的授权不当与回调处理漏洞。据透露,攻击者恶意部署的合约在流动性池初始化阶段操纵了金库调用,成功绕过安全防护措施,实现了跨关联池的未授权互换与余额操控。
Balancer承诺将“尽快分享此次攻击的更多细节及完整事后分析报告”。值得注意的是,自2021年以来,Balancer V2已历经11次安全审计,每次审计的检查范围各有不同。
仿冒官方的钓鱼企图
与此同时,有不法分子试图借此次事件牟利——冒充Balancer官方联系黑客,提出“白帽赏金”方案:若黑客同意将其余赃款退回指定地址,可获得被盗金额20%的奖励。
该钓鱼信息措辞严谨,通过多重设计营造可信度,包括明确奖励比例、设定截止日期及附带威胁内容,全程以谈判姿态逼迫黑客立即配合。
若黑客拒绝该交易,冒充Balancer的诈骗者威胁称,将动用从区块链取证专家、执法机构及监管合作伙伴处获取的所有信息,定位并起诉攻击者。
此次Balancer攻击是2025年规模最大的加密货币盗窃事件之一。目前攻击责任方尚未确定,但去中心化金融(DeFi)领域机构面临的最大威胁来自朝鲜黑客组织。
到今年10月为止,与朝鲜黑客盗窃相关的加密货币金额已超过20亿美元,其中规模最大的是2月发生的Bybit交易所攻击事件,黑客当时窃取了15亿美元的加密货币。
文章翻译自:https://www.bleepingcomputer.com/news/cryptocurrency/hacker-steals-over-120-million-from-balancer-defi-crypto-protocol/如若转载,请注明原文地址
