发现场景
加密自动做市商Balancer在周一早些时候遭遇了一次重大攻击,导致估计价值$128 百万的数字资产在多个区块链上被盗。因此,新兴网络Berachain被迫暂停其区块链,并正在尝试进行硬分叉以解决此问题。
Balancer在多个链上提供服务——包括以太坊、Arbitrum和Base——所有使用Balancer V2的链都易受攻击。此外,许多协议使用其代码库构建自己的产品,这些产品也存在相同的漏洞。
根据链上分析公司Nansen对Decrypt的说法,这次漏洞的发生很可能是由于Balancer V2流动性池中发现的一个 “微小的精度/四舍五入错误”。攻击者通过在单个交易中进行多次交换,将流动性池推向了这个四舍五入错误。这导致代表Balancer流动性池所有权的Balancer池代币被流动性池低估。
更新:@Balancer及其分叉正在遭受攻击,多个链上的总损失已达到~$128.64M。 pic.twitter.com/FIwx20ALSz
— PeckShieldAlert (@PeckShieldAlert) 2025 年 11 月 3 日
“由于BPT价格低迷,攻击者以该贬值的价格交换或铸造了BPT。他们立即将这些(低估的) BPT转换回基础资产,然后再转换为ETH,赚取了差价,” Nansen研究分析师Nicolai Sondergaard对Decrypt表示。
安全专家Cyvers和PeckShield均估计,总损失约为$128 百万。Nansen估计这一数字接近$100 百万,随着代币价格在更广泛的市场暴跌中下跌,这一数字也在下降。被盗资金随后通过多个不同地址转移,并在去中心化交易所进行了交换。
Balancer 已确认此漏洞,并确认该问题仅限于 Balancer V2 可组合稳定池——这意味着 V3 池未受到影响。该项目现在正在与 “领先的安全研究人员” 合作,以对事件进行全面的事后分析。根据 CoinGecko 的数据,Balancer 的 BAL 代币当天下跌超过 11%,市值为 $56 百万。
“[这]可能是最糟糕的已经过去,因为看起来利用者不再提取任何资金了,” Sondergaard说。
今天,UTC时间早上7:48左右,Balancerv2可组合稳定池受到了一次攻击。
我们的团队正在与领先的安全研究人员合作,以了解这个问题,并将在尽快的时间内分享更多的发现和完整的事后分析。
因为这些矿池已经上线了…pic.twitter.com/LRLNNXogt3
— Balancer (@Balancer) 2025 年 11 月 3 日
由于攻击,Berachain 验证者协调停止区块链,并计划进行紧急硬分叉,将链回滚到受攻击前的状态。
这是因为Berachain的原生去中心化交易所建立在与Balancer V2相同的易受攻击的代码基础上,Cyvers告诉Decrypt。这解释了为什么Berachain遭受如此严重的打击,预计损失达到1286万美元。
“鉴于它影响了非本地资产(而不仅仅是BERA),回滚/前滚涉及的不仅仅是简单的硬分叉,” Berachain基金会的公告说道,解释了为什么区块链在此期间被暂停。
Berachain 验证者已协调故意暂停 Berachain 网络,因为核心团队正在进行紧急硬分叉,以解决与 Balancer V2 相关的漏洞问题。
此次暂停是出于目的性执行的,网络将在…后很快恢复运行。
— Berachain 基金会 🐻⛓ (@berachain) 2025 年 11 月 3 日
这一举动在加密原住民中引发了高度争议,他们相信区块链的不可变性。对于许多死忠的加密信仰者来说,分叉链和撤销交易违背了加密所代表的一切。
以太坊在2016年著名的The DAO黑客事件后,通过硬分叉著名地回滚了其区块链,导致$50 万ETH被盗—这是当时总供应量的一个重要部分。这次有争议的硬分叉分裂了社区,反对分叉的人则留在了原始链上,即现在所称的以太坊经典。
“我相信有些人对此不会感到高兴,我们承认这可能被视为一个有争议的决定,” 匿名的 Berachain 创始人兼首席战略官 Smokey the Bera 在 X 上写道。“网络上的用户和流动性提供者始终是我们的优先考虑,当大约 $12 百万用户资金面临恶意攻击者的风险时,我们试图协调验证者集以保护这些用户。”
"目标是尽快恢复资金,并确保所有流动性提供者的安全,"Smokey补充道。
根据CoinGecko的数据,Berachain的代币当天同样下跌了近10%,市值为$211 百万。
相关文章
