该事件最早于2025 年 11 月 3 日UTC 时间 7:48左右被发现,此前 Balancer 遭受重大黑客攻击,导致多条链上的资金被盗,这再次引发了人们对可组合资金池设计的关注,凸显了加密货币运营中持续存在的风险。
2025 年 11 月 3 日,调查人员发现Balancer V2 可组合稳定池出现异常流出。
链上安全团队(例如PeckShieldAlert和Lookonchain)的早期监控发现了大规模、快速的代币互换;后续汇总报告显示,以太坊、 Polygon和Base 的损失总额约为1.166 亿美元。在此背景下,安全团队迅速采取行动,限制了进一步的损失。
各团队暂停了受影响的资金池, Balancer发布了链上公告,承诺在限定时间内,白帽黑客将获得 20% 的赏金以换取全额收益。
Curve Finance 和第三方取证机构追踪资金流动情况,同时响应者协调冻结和发出警报;这些措施旨在加强追踪和交流合作。
向取证团队报告时,请保留交易 ID 和链上备注;它们可以加快追踪速度并促进交流合作。
该漏洞于 UTC 时间 7:48 被检测到,并升级为跨链事件,初步链上估计损失约为 1.166 亿美元。
Curve Finance在盗窃事件发生后发布了开发者指南,警告称可组合性可能会放大漏洞,并敦促团队重新评估池化原语。
值得注意的是,该平台建议将准入控制和代币记账逻辑的更改作为当务之急。
在调查人员链接的一篇总结性帖子中,Curve 呼吁立即对资金池代币逻辑进行审计,并指出了那些假定价格模型不变的交互。
独立审计师被敦促在审查过程中考虑可组合性限制和跨池会计假设;该指南将 Balancer 事件重新定义为系统性风险的实际演示。
Curve 的回应将此次漏洞利用重新定义为代码设计和集成方面的教训,敦促协议团队加强可组合性假设并扩大审计范围。
Balancer 采取的直接补救措施是在链上公开请求并提出有条件的赏金:该团队承诺,如果在规定时间内归还资金,将返还高达 20% 的追回资金,并表示将与区块链取证和执法部门进行协调。
调查人员建议监测混合器流量,并与主要集中交易所联络,冻结相关存款。
实际的恢复步骤包括快速进行取证标记、通知交易所,以及在司法管辖区内采取法律行动。一些团队报告称,他们通过追踪和协商返还款项实现了部分恢复;最终结果因交易所的及时配合和智能合约的缓解措施而异。
提示:准备一份快速响应工具包,其中包含交易快照、受影响的合约地址和法律联系人信息,以便加快交易所下架请求的处理速度。简而言之:恢复交易依赖于快速追踪、交易所的行动,以及(在交易所提供的情况下)白帽黑客赏金来激励追回损失。
开发人员应扩展传统审计范围,将可组合性场景、多池交互和价格预言机操纵纳入其中。在此背景下,审计人员和工程师必须模拟协议链在生产环境中可能执行的调用序列。
一份实用的智能合约审计清单必须评估池代币铸造/销毁的边缘情况、不变的假设以及允许意外交换或赎回的无需许可的钩子。
安全团队还必须模拟跨池套利,并在流动性发生极端变化的情况下进行压力测试交互,集成模拟多池序列的第三方模糊测试工具。
针对小数池代币的下溢/溢出情况,添加明确的测试,并将可组合性压力测试纳入持续测试。简而言之:采用分层方法——严格的审计、可组合性压力测试和运维准备——以降低单个合约漏洞导致多链损失的风险。
- 可组合稳定池:旨在被其他协议用作资产或抵押品的池。
- 链上取证标签:一种应用于可疑地址的区块链标签,用于协助追踪和交易所冻结。
- 白帽赏金:指以一定比例的奖励和豁免权换取归还被盗资金的提议。
该漏洞凸显了设计假设如何将风险传播到多个链上的协议中;即使是经过审计的资金池,攻击者也可以以新颖的方式利用它们。
需要注意的是,连锁经营者可能会采取紧急措施来控制疫情蔓延。
Berachain 验证者暂停了他们的网络以控制相关活动,这表明紧急停止是如何用作权宜之计的。
链上取证团队正在协调集群标记和交易所联络,以阻止提现,同时托管和交易所部门正在审查存款监控,以阻止受污染的资金流动。
业内人士表示,此次事件将加速运营手册的升级,包括更快的交易所升级途径和协调一致的披露程序。
一位高级安全主管告诉调查人员,“协议必须测试交互,而不仅仅是合同”,这一点在事件后的汇报和CoinDesk等主流媒体的报道中也得到了呼应。
Curve Finance 还警告开发人员“检查你的计算,尤其是在‘简单’的地方,要多加谨慎;做出对错误有较大容错性的设计选择”,强调了实际的工程要点。
该事件提醒我们,去中心化金融风险管理必须考虑到协议交互和多链风险敞口产生的突发行为。