作者：Jack Inabinet 來源：bankless 翻譯：善歐巴，金色財經

拆解 Balancer V2 漏洞攻擊的後續影響

Balancer 是一家熱門去中心化交易所，以自動再平衡流動性池和代幣激勵型流動性獎勵機制為特色。近期，其 V2 版本流動性金庫遭竊，損失達數千萬美元。

眾多 Balancer V2 的分叉版本（即復用 Balancer 代幣的替代交易所）也受到影響，多個受波及的區塊鏈已採取激進措施以減輕後續損失。

此次事件為何會在加密行業引發連鎖反應？下文將詳細解析。

Balancer 的重大失誤

11 月 3 日（週一）凌晨，部署在以太坊、Base、Polygon 和 Arbitrum 等鏈上的 Balancer V2 金庫遭漏洞攻擊，損失近 8000 萬美元。問題僅存在於 V2 版本的 “可組合穩定池”，未影響 Balancer V3 及其他類型池。

數據分析平台 DeFiLlama 顯示，Balancer V2 共有 27 個獨立分叉版本。儘管多數分叉協議的鎖倉量微不足道，但攻擊者仍從 Sonic 生態的 Beets 協議中竊取 340 萬美元，從 Optimism 生態的 Beethoven 協議中竊取 28.3 萬美元。此外，Berachain 鏈上基於 Balancer 搭建的原生交易所 BEX，約有 1200 萬美元用戶資金面臨風險。

截至本文撰寫時，Balancer 尚未發布官方事後分析報告，但有觀點認為，漏洞根源在於 “manageUserBalance” 函數中的存取檢查存在缺陷；也有推測稱，攻擊源於對 Balancer 池代幣價格的 “不變量操縱”。

漏洞攻擊發生後，Balancer 及其分叉協議的用戶立即緊急撤離以保護資產。一名沉睡三年的巨鯨用戶，在攻擊發生後 30 分鐘內，透過單筆交易從 Balancer 提取了全部 650 萬美元的 GNO-WETH 資產。

為遏制損失，部分區塊鏈採取了極端手段—— 這些激進措施模糊了危機應對與中心化控制的界限：

Polygon 的 Balancer V2 部署僅損失約 10 萬美元，但網路驗證者選擇審查黑客的交易，實際上將被盜數位資產凍結在原地；

Sonic 修改了原生代幣 “S” 的邏輯，使 Sonic 基金會獲得 單方面將錢包地址列入黑名單（禁止持有原生代幣）的權限，並清空了攻擊者的 S 代幣餘額；

同時，Berachain 全網完全停止區塊生成，透過暫停出塊防止 BEX（Berachain 官方原生交易所）發生進一步資產失竊。

Balancer 引發的核心疑問

此次 Balancer 漏洞攻擊，為整個加密行業提出了兩個關鍵問題。

問題一：若 Balancer V2 都能被輕易攻擊，還有哪些 DeFi 協議是安全的？

Balancer V2 是一個歷經考驗的協議：營運已超過四年，且接受過多家獨立機構的智能合約審計。連這樣的協議都能被輕易攻擊，不禁讓人質疑—— 還有哪些 DeFi 協議是安全的？

毫無疑問，加密用戶享受區塊鏈帶來的便利，但當一個 DeFi 基石協議中存在的漏洞，被無數審計專家忽視數年之久時，人們將越來越難對基於無許可智能合約的應用的安全性抱有絕對信任。

問題二：若部分區塊鏈有權凍結黑客資金，監管機構為何不能強制其凍結 “非法活動”？

既然 Polygon、Sonic、Berachain 等區塊鏈有能力凍結攻擊者的資金，那麼金融監管機構為何不能強制這些（及其他中心化程度相近的）區塊鏈，凍結所有其認定為非法的活動？

2023 年 3 月，MakerDAO 金庫前端 Oasis.app（現更名為 Summer.fi）曾遵照英格蘭及威爾斯高等法院的指令，透過管理員密鑰後門存取自身智能合約，從 Wormhole 跨鏈橋黑客事件中追回 2.25 億美元加密資產。

該事件表明，傳統法律體系可透過逮捕威脅或其他法律後果，迫使去中心化協議採取特定行動。如今，監管機構是否可能沿用這一模式—— 僅憑一份法院指令，就針對多鏈上其不認可的行為（如無政府監管、無身份認證的交易）採取打擊措施？