該事件最早於2025 年 11 月 3 日UTC 時間 7:48左右被發現,此前 Balancer 遭受重大黑客攻擊,導致多條鏈上的資金被盜,這再次引發了人們對可組合資金池設計的關注,凸顯了加密貨幣運營中持續存在的風險。
2025 年 11 月 3 日,調查人員發現Balancer V2 可組合穩定池出現異常流出。
鏈上安全團隊(例如PeckShieldAlert和Lookonchain)的早期監控發現了大規模、快速的代幣互換;後續彙總報告顯示,以太坊、 Polygon和Base 的損失總額約爲1.166 億美元。在此背景下,安全團隊迅速採取行動,限制了進一步的損失。
各團隊暫停了受影響的資金池, Balancer發佈了鏈上公告,承諾在限定時間內,白帽黑客將獲得 20% 的賞金以換取全額收益。
Curve Finance 和第三方取證機構追蹤資金流動情況,同時響應者協調凍結和發出警報;這些措施旨在加強追蹤和交流合作。
向取證團隊報告時,請保留交易 ID 和鏈上備註;它們可以加快追蹤速度並促進交流合作。
該漏洞於 UTC 時間 7:48 被檢測到,並升級爲跨鏈事件,初步鏈上估計損失約爲 1.166 億美元。
Curve Finance在盜竊事件發生後發佈了開發者指南,警告稱可組合性可能會放大漏洞,並敦促團隊重新評估池化原語。
值得注意的是,該平臺建議將准入控制和代幣記賬邏輯的更改作爲當務之急。
在調查人員鏈接的一篇總結性帖子中,Curve 呼籲立即對資金池代幣邏輯進行審計,並指出了那些假定價格模型不變的交互。
獨立審計師被敦促在審查過程中考慮可組合性限制和跨池會計假設;該指南將 Balancer 事件重新定義爲系統性風險的實際演示。
Curve 的回應將此次漏洞利用重新定義爲代碼設計和集成方面的教訓,敦促協議團隊加強可組合性假設並擴大審計範圍。
Balancer 採取的直接補救措施是在鏈上公開請求並提出有條件的賞金:該團隊承諾,如果在規定時間內歸還資金,將返還高達 20% 的追回資金,並表示將與區塊鏈取證和執法部門進行協調。
調查人員建議監測混合器流量,並與主要集中交易所聯絡,凍結相關存款。
實際的恢復步驟包括快速進行取證標記、通知交易所,以及在司法管轄區內採取法律行動。一些團隊報告稱,他們通過追蹤和協商返還款項實現了部分恢復;最終結果因交易所的及時配合和智能合約的緩解措施而異。
提示:準備一份快速響應工具包,其中包含交易快照、受影響的合約地址和法律聯繫人信息,以便加快交易所下架請求的處理速度。簡而言之:恢復交易依賴於快速追蹤、交易所的行動,以及(在交易所提供的情況下)白帽黑客賞金來激勵追回損失。
開發人員應擴展傳統審計範圍,將可組合性場景、多池交互和價格預言機操縱納入其中。在此背景下,審計人員和工程師必須模擬協議鏈在生產環境中可能執行的調用序列。
一份實用的智能合約審計清單必須評估池代幣鑄造/銷燬的邊緣情況、不變的假設以及允許意外交換或贖回的無需許可的鉤子。
安全團隊還必須模擬跨池套利,並在流動性發生極端變化的情況下進行壓力測試交互,集成模擬多池序列的第三方模糊測試工具。
針對小數池代幣的下溢/溢出情況,添加明確的測試,並將可組合性壓力測試納入持續測試。簡而言之:採用分層方法——嚴格的審計、可組合性壓力測試和運維準備——以降低單個合約漏洞導致多鏈損失的風險。
- 可組合穩定池:旨在被其他協議用作資產或抵押品的池。
- 鏈上取證標籤:一種應用於可疑地址的區塊鏈標籤,用於協助追蹤和交易所凍結。
- 白帽賞金:指以一定比例的獎勵和豁免權換取歸還被盜資金的提議。
該漏洞凸顯了設計假設如何將風險傳播到多個鏈上的協議中;即使是經過審計的資金池,攻擊者也可以以新穎的方式利用它們。
需要注意的是,連鎖經營者可能會採取緊急措施來控制疫情蔓延。
Berachain 驗證者暫停了他們的網絡以控制相關活動,這表明緊急停止是如何用作權宜之計的。
鏈上取證團隊正在協調集羣標記和交易所聯絡,以阻止提現,同時託管和交易所部門正在審查存款監控,以阻止受污染的資金流動。
業內人士表示,此次事件將加速運營手冊的升級,包括更快的交易所升級途徑和協調一致的披露程序。
一位高級安全主管告訴調查人員,“協議必須測試交互,而不僅僅是合同”,這一點在事件後的彙報和CoinDesk等主流媒體的報道中也得到了呼應。
Curve Finance 還警告開發人員“檢查你的計算,尤其是在‘簡單’的地方,要多加謹慎;做出對錯誤有較大容錯性的設計選擇”,強調了實際的工程要點。
該事件提醒我們,去中心化金融風險管理必須考慮到協議交互和多鏈風險敞口產生的突發行爲。