Balancer 遭受漏洞攻擊，1.28 億美元從金庫中被轉移

去中心化金融（DeFi）協議 Balancer 在遭受惡意攻擊後損失了 1.28 億美元。鏈上數據顯示，超過 1.28 億美元的資產從協議的金庫中被提取。 

被盜資金包括 osETH、WETH 和 wstETH，攻擊者正在整合被盜資產，引發了洗錢的擔憂。 

Balancer 遭受攻擊 

知名去中心化金融（DeFi）協議 Balancer 遭受了一次重大攻擊，鏈上數據顯示超過 1.28 億美元的資產已被轉移到一個新錢包。根據區塊鏈數據，被盜資金包括 6,850 個 osETH、6,590 個 WETH 和 4,260 個 wstETH，此次黑客攻擊影響了 Balancer v2 上的金庫。該協議的 v2 金庫作為其中央流動性引擎，聚合代幣並促進流動性池之間的交易。Balancer 團隊在 X 上確認了這次黑客攻擊，表示， 

Sonic、Polygon 和 Base 上的金庫也受到了影響。 

Trading Strategy 的聯合創始人兼 CEO Mikko Ohtamaa 指出，對攻擊的初步分析表明，有缺陷的智能合約是攻擊的主要原因。他補充說，雖然並非所有 Balancer 版本都受到影響，但如果較舊的 v2 分叉共享攻擊者使用的相同漏洞，損失可能會更高。安全公司 PeckShield 表示，攻擊仍在 Balancer 部署的多個鏈上進行。 

攻擊是如何展開的 

根據安全公司 Decurity 的說法，攻擊發生是由於 Balancer 的 "manageUserBalance" 函數中存在訪問控制缺陷。漏洞存在於 ValidateUserBalanceOp 中，它將 msg.sender 與用戶提供的 op.sender 進行比較，這是一個邏輯缺陷，允許通過 UserBalanceOpKind.WITHDRAW_INTERNAL 操作進行未授權提款。 

簡單來說，該漏洞允許攻擊者在沒有必要權限的情況下從 Balancer 的智能合約中觸發內部餘額提款。 

鏈上安全專家強調，攻擊者的地址已經開始整合資產，引發了他們正準備通過去中心化混幣器洗錢的擔憂。 

第三次攻擊 

Balancer 是建立在 Ethereum 上的去中心化平台，允許用戶使用其自平衡池交易代幣並提供流動性。該協議自 2020 年以來一直活躍，僅在 Ethereum 上就持有超過 3.5 億美元的總鎖定價值（TVL）。最新事件是 Balancer 已知的第三次安全漏洞。該平台此前在 2021 年和 2023 年遭受攻擊，損失了數百萬美元。鏈上專家表示，金庫是 Balancer 的主要智能合約，持有來自每個 Balancer 池的代幣。 

這種設計在 Balancer v2 中引入，將代幣會計與池邏輯分離，使池更小、更簡單、更安全地構建。這種方法允許任何人插入新的池設計，而無需創建新的去中心化交易所（DEX）。

免責聲明：本文僅供參考。它不作為法律、稅務、投資、財務或其他建議提供或使用。