北京时间11月3日3:48PM左右，链上数据监测平台突然发现：Balancer，一个老牌 DeFi 协议的金库地址，出现了异常的大额转账。

Etherscan显示，包括6,587枚WETH（约2450万美元）、6,851枚osETH（约2690万美元）及4,260枚wstETH（约1930万美元）在内的多链资产被转移至外部钱包。

多位链上分析师认为，这应该是一次潜在的漏洞利用或未经授权的提现，而非例行的流动性迁移。包括Nansen在内的多家区块链分析提供商也已将这些交易标记为可疑交易。

据区块链安全机构PeckShield监测，攻击持续在以太坊等多链网络上持续进行。

截至北京时间4:48PM左右，攻击者地址（0x54B5…30d）通过调用函数0x8a4f75d6完成又一笔交易，Lookonchain确认总损失已超过1.16亿美元。

Trading Strategy联合创始人Mikko Ohtamaa指出，初步分析漏洞根源为智能合约检查机制缺陷。虽然并非所有Balancer版本受影响，但如果旧版V2分叉存在相同漏洞，总损失可能进一步上升。

DeFi安全仍是难题

这并不是 Balancer 第一次遭遇安全问题。

• 早在 2020 年，协议曾因未考虑“转账扣费”类代币的特殊行为，导致攻击者通过闪电贷操纵池子资产，造成约 50 万美元损失。

• 2023 年 8 月，Balancer V2 的 Boosted Pool 被发现漏洞，尽管官方预警，仍发生攻击，资金损失约 100 万美元。

• 同年 9 月，Balancer 的前端域名遭到 DNS 劫持，用户在钓鱼网站上签署交易后共计损失近 24 万美元。

如今，最新一轮攻击再次将 DeFi 安全问题推上风口浪尖。从合约设计到前端部署，从流动池逻辑到跨链资产管理，Balancer 面对的安全挑战似乎从未真正解决。

而且，Balancer 本就是一个流动性枢纽型协议，它出事，不只是自己出事。被套的 LP、依赖它的聚合器、资产池、策略 Vault……都会受到波及。

DeFi 世界讲究“无需信任”，但在一次又一次的漏洞利用面前，用户真正能信任的是什么？经历五年发展，DeFi 已不再是极客们的小圈子游戏，而是掌管着数十亿资金的金融基础设施。可惜的是，即便头部协议如 Balancer，也依然难逃旧患未除、新伤又至的宿命。

Balancer 两小时后回应

北京时间17:50，也就是事件发生的两个小时后，Balancer 更新官推：“已发现一个可能影响 Balancer v2 池的漏洞。我们的工程和安全团队正在高度优先地进行调查，一旦获得更多信息，我们将立即分享已确认的更新和后续步骤。”

Bitpush 正持续追踪事件进展，我们将第一时间同步最新动态，敬请保持关注。

---

Twitter：https://twitter.com/BitpushNewsCN

比推 TG 交流群：https://t.me/BitPushCommunity

比推 TG 订阅： https://t.me/bitpush