新聞 
幣種資訊 
關於我們 
去中心化金融(DeFi)協議 Balancer(밸런서)近日遭受攻擊,損失金額高達約1,680億韓元(約1,255萬美元)。這起事件涉及對其核心機制的精密操控,犯罪者透過重複微量交易逐步瓦解協議的安全邏輯,引發市場高度關注。根據安全公司 SlowMist 於 3 日(當地時間)發布的詳細分析,問題源自 Balancer v2 中的「整數定點運算」出現精度損耗漏洞,最終導致此大規模盜資事件。
此次攻擊針對以 1:1 價格比率配對的資產池,如 USDC/USDT、WETH/stETH 等,在這些 Pool 採用的 Composable Stable Pool(CSP)架構下,價格計算依賴的「縮放因子(scaling factor)」出現精度誤差。駭客利用這一點,頻繁進行極小金額的交換操作,觸發系統的「數值累積誤差」,讓系統在算法層面上高估其應給予的資產數量。
攻擊手法包括先透過交換 Balancer 協議代幣 BPT 以降低 Pool 流動性,接著進行高度控制的 osETH 與 WETH 間交換操作,每次都獲得略高於實際支出的資產回報。此過程透過自動化腳本迅速重複,使漏洞效果持續擴大,最終成功竊取大量資產。
評論:這起事件充分說明 DeFi 協議若僅針對一般情境進行測試,容易在極端條件或低流動性環境下暴露根本性風險。
SlowMist 指出,駭客透過自動化操作在壓低 Pool 流動性後持續放大數據誤差,甚至操縱最終稱重與資產分配流程,導致即使在輸入少量資產的情況下仍可獲得遠超預期的輸出。駭客在成功盜取資產後,迅速透過 Tornado Cash 混幣服務與跨鏈路由,將贓款分散至多個以太坊(ETH)錢包據點,其中包括大量 ETH 與封裝以太幣 WETH。
Balancer 團隊於事故發現後,快速採取緊急措施,包括暫停 CSPv6 資金池操作、關閉相關智能合約工廠(Pool Factory),並協助流動性提供者安全提領資金。此外,團隊現正與白帽駭客及資安合作夥伴一同追蹤攻擊者行蹤與資產流向,截至目前已成功凍結約 1,900 萬美元(約 255 億韓元)價值的 StakeWise osETH 代幣,以及約 200 萬美元(約 27 億韓元)價值的 osGNO 資產。
有鑑於此次事件,Balancer 向攻擊者主動提出歸還資產後可保留 20% 為「漏洞賞金」的協商方案,但截至目前尚未獲得回應。
評論:這起事件並非單純的智能合約錯誤,而是結構性設計缺陷與細膩攻擊手法的結合。提醒所有使用複雜計算邏輯與多資產交換機制的 DeFi 專案,務必強化在極限使用情境與數據邊界的測試,避免類似風險再次發生。
此次 Balancer 攻擊不僅成為過去一年來最大規模的數位資產損失事件之一,也再次凸顯去中心化協議在面對結構型漏洞時的脆弱性。相關專案應更加重視輸入輸出精度控制與極端交易邏輯對整體系統的潛在衝擊。
留言 0