Balancer 协议宣布其 V2 流动性池成为黑客攻击目标，据报道此次攻击造成的损失估计超过 1.28 亿美元。

Balancer 是基于以太坊区块链构建的去中心化金融（DeFi）协议，兼具自动做市商与流动性基础设施层功能。该协议提供支持自定义代币组合的灵活流动性池，用户可存入资产赚取手续费，交易者则能进行资产互换。协议由 BAL 代币治理，事发前该代币的市值为 6500 万美元。

Balancer 尚未披露事件过多细节，但已警示用户警惕潜在诈骗或钓鱼攻击。该协议已确认，V2 可组合稳定池遭遇漏洞利用攻击，且该问题未影响包括 V3 在内的其他任何 Balancer 流动性池。

攻击原因争议

关于攻击的具体成因目前尚无统一结论。据 GoPlus Security 分析，Balancer V2 的漏洞利用源于金库（Vault）swap 交易计算过程中的精确舍入误差。每次互换操作都会对代币数量向下取整，产生微小偏差，而攻击者可反复利用这一偏差。通过批量互换功能串联多次交易，这些舍入损失会累积形成巨大的价格扭曲，最终被攻击者利用。

使用缩放因子对代币数量进行标准化

另有部分自称了解内情的用户表示，攻击源于 Balancer V2 金库内部的授权不当与回调处理漏洞。据透露，攻击者恶意部署的合约在流动性池初始化阶段操纵了金库调用，成功绕过安全防护措施，实现了跨关联池的未授权互换与余额操控。

Balancer 承诺将 " 尽快分享此次攻击的更多细节及完整事后分析报告 "。值得注意的是，自 2021 年以来，Balancer V2 已历经 11 次安全审计，每次审计的检查范围各有不同。

仿冒官方的钓鱼企图

与此同时，有不法分子试图借此次事件牟利——冒充 Balancer 官方联系黑客，提出 " 白帽赏金 " 方案：若黑客同意将其余赃款退回指定地址，可获得被盗金额 20% 的奖励。

该钓鱼信息措辞严谨，通过多重设计营造可信度，包括明确奖励比例、设定截止日期及附带威胁内容，全程以谈判姿态逼迫黑客立即配合。

若黑客拒绝该交易，冒充 Balancer 的诈骗者威胁称，将动用从区块链取证专家、执法机构及监管合作伙伴处获取的所有信息，定位并起诉攻击者。

此次 Balancer 攻击是 2025 年规模最大的加密货币盗窃事件之一。目前攻击责任方尚未确定，但去中心化金融（DeFi）领域机构面临的最大威胁来自朝鲜黑客组织。 

到今年 10 月为止，与朝鲜黑客盗窃相关的加密货币金额已超过 20 亿美元，其中规模最大的是 2 月发生的 Bybit 交易所攻击事件，黑客当时窃取了 15 亿美元的加密货币。