11次審計仍無法阻止Balancer遭受1.28億美元駭客攻擊，重新定義DeFi風險

多年來，Balancer 一直被視為 DeFi 領域最可靠的機構之一，一個經歷過多次熊市、審計和整合，卻未曾捲入醜聞的協議。

然而，這份信譽在 11 月 3 日轟然倒塌，區塊鏈安全公司 PeckShield 報告稱，Balancer 及其多個分叉正在多條鏈上遭遇持續的攻擊。

短短數小時內，超過 1.28 億美元資金被盜，留下被清空的資金池、凍結的協議，以及驚魂未定的投資者。

PeckShield 數據顯示，該平台在 Ethereum 上的協議損失最為慘重，約為 1 億美元。Berachain 損失 1290 萬美元，而 Arbitrum、Base 及較小的分叉如 Sonic、Optimism 和 Polygon 雖損失較少，但仍屬重大竊盜事件。

Total Funds Stolen from Balancer Hack (Source: Peckshield)

隨著資金被盜，Balancer 承認「潛在漏洞影響 Balancer v2 資金池」，並表示其工程和安全團隊正以最高優先級調查此事。

然而，這一聲明並未能減緩整合方和分叉上的資金提取速度。

截至當天結束，DeFiLlama 數據顯示，Balancer 的總鎖倉價值（TVL）已從 7.7 億美元驟降 46%，至約 4.22 億美元。

Balancer DeFi Hack (Source: DeFiLlama)

發生了什麼？

區塊鏈安全公司 Phalcon 的初步鑑識顯示，攻擊者針對的是 Balancer Pool Tokens（BPT），即用戶在流動性池中的份額代表。

據該公司稱，漏洞源於 Balancer 在批量兌換過程中計算資金池價格的方式。攻擊者通過操控這一邏輯，扭曲了內部價格來源，製造出人為失衡，從而在系統自我修正前提取代幣。

How Attacker Exploited Balancer Code (Source: Phalcon)

加密分析師 Adi 寫道：

「授權和回調處理不當，使攻擊者能繞過安全防護。這使其能在多個互聯資金池間進行未授權兌換或餘額操控，資產在數分鐘內被迅速抽乾。」

同時，Balancer 長期以來備受讚譽的可組合金庫架構，進一步放大了損失。由於金庫可動態相互引用，這種扭曲效應迅速波及所有互聯資金池。

有趣的是，Coinbase 的 Conor Grogan 指出，攻擊者的手法顯示出專業的老練。

Grogan 注意到，攻擊者的地址最初由 Tornado Cash 轉入 100 ETH，暗示這筆資金很可能來自早期的攻擊行動。

「沒有人會無緣無故把 100 ETH 存進 Tornado Cash，」他寫道，認為這種交易模式反映出攻擊者是經驗豐富且曾多次出手的黑客。

DeFi 信任崩潰

雖然這次攻擊本質上是技術性的，但其影響卻是心理層面的。

Balancer 長期以來被視為流動性提供者的保守選擇，是一個可以存放資產並獲得穩定收益的場所。其長壽、審計和與主流 DeFi 平台的整合，讓人產生「堅持即安全」的錯覺。11 月 3 日的漏洞事件一夜之間徹底摧毀了這一敘事。

加密平台 Rotki 創辦人 Lefteris Karapetsas 稱之為「信任崩潰」，不僅僅是 DeFi 平台被駭。

他痛斥：

「一個自 2020 年上線、經過審計且廣泛使用的協議，仍可能遭遇幾乎全部 TVL 的損失。對於相信 DeFi『穩定』的人來說，這是個重大警訊。」

這一反應反映了更廣泛的情緒。在一個重視自我託管和可驗證代碼的市場中，信心已悄然取代信任，成為 DeFi 隱形的基石。

Balancer 的失敗證明，即使數學上嚴謹的系統，也難以避免不可預見的複雜性帶來的風險。

Cork Protocol 的化名開發者 Robdog 表示：

「儘管 [DeFi] 基礎越來越安全，悲哀的現實是智能合約風險無處不在。」

對 DeFi 的影響

Balancer 漏洞事件發生在去中心化金融的敏感時刻，打破了短暫的平靜。根據 PeckShield 數據，10 月份因駭客攻擊造成的總損失降至全年最低，僅 1800 萬美元。

然而，僅 11 月的一次事件，損失金額已飆升至 1.2 億美元以上，使其成為 2025 年 DeFi 攻擊損失第三高的月份。

Monthly DeFi Hacks Losses in 2025 (Source: DeFiLlama)

同時，這次攻擊凸顯了 DeFi 核心的根本悖論：可組合性，這一讓協議能相互連接、共同構建的特性，也放大了系統性風險。

當像 Balancer 這樣的核心協議出現問題，影響會瞬間波及所有依賴它的網絡。

在 Berachain 上，驗證者暫停了區塊產出以防止風險蔓延。其他協議也隨即暫停了借貸和跨鏈橋接功能。

這些迅速反應雖然限制了損失，但也凸顯出 DeFi 缺乏傳統金融穩定機制的事實。

在這個領域，沒有監管機構、中央銀行或強制性的最後擔保。相反，危機管理極度依賴開發者和審計人員的協作，往往需在數分鐘內聯手遏制損害。

對此，Robdog 表示：

「這正好提醒我們，為什麼需要建立更完善的風險管理基礎設施。」

除了直接的技術損失外，信任的損害可能更難修復。

每一次重大漏洞都在侵蝕 DeFi 自我監管代碼的承諾。對於考慮進入該行業的機構投資者而言，這些反覆的失敗表明去中心化市場仍屬於實驗階段。

Karapetsas 指出：

「沒有嚴肅的資本會分配到這麼脆弱的系統中。」

這種觀感已經在全球主要經濟體的政策制定中產生影響。

知名 web3 開發者 Suhail Kakar 在 Balancer 漏洞事件後指出了一個令人警醒的現實：即使多次且高規格的安全審計，也無法保證 DeFi 的安全。

正如他所言，Balancer 經歷了十多次審計，其核心金庫合約由多家獨立公司審查，但協議仍然遭遇重大漏洞。

Kakar 的觀點反映出業界越來越普遍的看法：「由 X 審計」已不再是萬無一失的標誌；反而揭示了去中心化系統本身的複雜性與不可預測性，即便經過充分測試的代碼也可能潛藏未知漏洞。

Balancer V2 Audits (Source: Balancer docs via Suhail Kakar)

美國當局正在制定針對 DeFi 協議的監管框架。業內觀察人士預計，Balancer 漏洞事件將加速這一進程，因為政策制定者正努力應對加密貨幣與傳統金融行業持續融合帶來的日益增長的風險。