目前其总被盗金额为 1.2864 亿美元，攻击仍在继续。

撰文：1912212.eth，Foresight News

11 月 3 日下午，老牌 DeFi 协议 Balancer 遭受重大安全漏洞攻击。攻击者通过操纵协议的核心智能合约，短短几小时内，成功从多个流动性池中抽取价值超过 1.1 亿美元的加密资产资金从 Balancer 的金库中转移到攻击者控制的钱包。受攻击事件影响，BAL 币价跌至 0.9 美元附近，24 小时跌幅 8.64%。

根据 debank 数据显示，其被盗的资金包括以太坊生态的 9985 万美元，Arbitrum 链上的 795 万美元，Base 生态的 394 万以及 Sonic 上的 340 万美元的，OP 链上的 156 万美元等。

截止下午 5 时 41 分，来自慢雾的调查显示，其总被盗金额为 1.2864 亿美元，其中增加了 Berachain 的 1286 万美元。

Berachain 官方表示已暂停 HONEY 铸造和 BEX 池子 / 金库功能。其验证节点已协调暂停 Berachain 网络运行，以便核心团队执行紧急硬分叉，解决 BEX 上与 Balancer V2 相关的漏洞问题。

如此巨额盗窃案一度使得沉睡 3 年的鲸鱼 0x0090 迅速行动，从 Balancer 中提取资金。

这次事件不仅暴露了 Balancer V2 架构中的访问控制缺陷，还波及了多个区块链网络，包括以太坊主网、Base、Polygon 和 Sonic，导致总损失迅速攀升。

目前，攻击仍在持续。

Balancer 成立于 2020 年，由 Balancer Labs 开发，是一个自动化做市商 (AMM) 协议，允许用户创建自定义流动性池，支持多种资产的权重调整。与 Uniswap 等简单 AMM 不同，Balancer 的设计更注重灵活性和资本效率，尤其在 V2 版本中引入了 “提升池” (Boosted Pools) 和金库 (Vault) 系统，这些功能旨在优化收益率并减少滑点。上轮 DeFi 热潮，Balancer 的 TVL 一度升至 32.39 亿美元。

目前，协议的 TVL 仅仅 6.7844 亿美元。

分析显示，此次攻击源于金库合约中的访问控制故障：攻击者利用闪贷机制，伪造权限从提升池中提取资产。具体而言，攻击者通过操纵率提供者，绕过授权检查，直接从金库转移资金到外部地址 0xAa760D53541d8390074c61DEFeaba314675b8e3f。 链上交易哈希（0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569 ）显示，攻击在几分钟内完成多笔转移，涉及 WETH、osETH、wstETH、frxETH、rsETH 和 rETH 等 ETH 衍生品。 这种方法类似于过去 DeFi 攻击，如 2022 年 Nomad Bridge 的访问控制漏洞，但 Balancer 的多链部署放大了风险，导致跨链损失。

这次攻击的前因可以追溯到 Balancer 的历史安全问题。该协议并非首次遇险：

• 2021 年 6 月，Balancer 因智能合约漏洞损失 50 万美元；
• 2023 年 8 月，又因 DNS 劫持攻击导致 27 万美元资金外流。

最近一次小规模漏洞发生在 2025 年 10 月，涉及率提供者 (rate providers) 的操纵。

这些事件均指向协议在访问控制和外部依赖上的弱点。V2 版本自 2021 年上线以来，已运行近 5 年，曾经过多次审计、模糊测试和形式验证，但仍未能完全堵塞漏洞。

Flashbots 战略总监、Lido 战略顾问 Hasu 发文表示，「Balancer v2 于 2021 年上线，自此成为最受关注和频繁被分叉的智能合约之一。这非常令人担忧。每次上线时间如此久的合约被攻击时，都会（理所当然地）让 DeFi 的采用进程倒退 6 到 12 个月。

目前，Balancer 团队发布声明称 V2 池可能存在漏洞，工程师与安全团队正调查该事件。

Foresight News 建议用户立即撤出资金、撤销批准（如在 Revoke.cash 上处理），并避免任何疑似钓鱼链接。