去中心化交易平台 Balancer 在其社交平台 X 上发布了关于 V2 版本遭受漏洞攻击事件的初步报告。根据官方披露的信息,11 月 4 日,Balancer V2 的可组合稳定池(Composable Stable Pools)在多个区块链上遭遇恶意攻击,涉及 Ethereum、Base、Avalanche、Polygon、Arbitrum 等多个主流网络。此次攻击事件引发了业内广泛关注,因其涉及多链交互与批量兑换逻辑漏洞,暴露出智能合约设计中潜在的系统性风险。
报告指出,本次攻击的根源在于 V2 协议中批量兑换(batchSwap)函数的逻辑缺陷。具体而言,当执行 EXACT_OUT 类型的交易时,该函数在计算过程中出现了四舍五入的逻辑错误。当缩放因子(scaling factor)不是整数时,系统会向下舍入计算结果,从而在资产结算中产生极小的误差。攻击者利用这一细微漏洞,反复操控池内余额,通过多次批量交易逐步提取资产,从而实现套利并造成损失。
值得注意的是,此次事件仅影响 Balancer V2 的可组合稳定池,其他类型的池(包括权重池、流动性池等)以及新版本的 Balancer V3 均未受到波及。Balancer 团队在事件发生后迅速采取应急措施,联合多家安全伙伴和白帽团队展开行动。通过 Hypernative 系统的自动暂停机制、资金冻结操作以及基于 SEAL 框架的白帽干预,平台成功阻止了攻击的进一步扩散,并追回了部分被盗资产。
官方报告还提到,目前 Balancer 正与多家安全机构,包括 SEAL 与 zeroShadow 团队,合作开展跨链资金追踪与回收工作。团队正在对攻击路径、智能合约执行细节及资金流转进行全面分析,预计在后续的完整技术复盘报告中公布最终的损失规模与资产恢复情况。
Balancer 同时提醒用户,应仅通过官方渠道确认相关信息,不要轻信未经验证的消息或第三方修复建议。官方强调,V3 版本及非稳定池功能均保持正常运行,用户可放心使用。
此次攻击事件再次凸显了去中心化金融(DeFi)协议在复杂逻辑设计与跨链操作中面临的安全挑战。业内专家认为,尽管 Balancer 团队在事发后迅速响应并控制风险,但事件也提醒开发者在设计涉及多链与高精度计算的交易逻辑时,应更加重视数值舍入与参数边界条件的安全性审查。未来,随着 Balancer 及其合作伙伴发布完整技术分析报告,更多关于漏洞细节与修复机制的内容将进一步揭示。
