Balancer 刚刚被抽走了约 1.16 亿美元 这并不复杂。这是他们保险库合约中的一个基本访问控制漏洞 事情是如何发生的，它揭示了什么 - 以及为什么这应该让每个活着的 DeFi 协议感到恐惧： 1/

今天，漏洞影响了以太坊、Arbitrum、Polygon、Base、Optimism等平台的Balancer V2 超过1.16亿美元被盗。6,590 WETH。6,851 osETH。4,260 wstETH 所有资金均从0xBA1...BF2C8的核心金库中提取 2/

错误出在 "manageUserBalance" - 这个函数应该验证谁可以转移资金 而是，它将 msg.sender 与用户提供的 op.sender 字段混淆了 攻击者利用 WITHDRAW_INTERNAL 操作提取他们从未存入的代币 3/

这让情况更糟的原因是什么？ Balancer V2 为所有内容使用一个单一的保险库。每个池子，每条链。 击中保险库，就击中它们全部。 许多分叉也面临风险。 4/

这是Balancer在五年内的第三次重大黑客攻击 2021年、2023年，现在是2025年：超过1.16亿美元，仍在增加 5/

让我们放远一点。 Balancer 不是某个实验。$750M 的总锁仓价值。经过审计。 已经运行多年。然而：一个基本的访问控制漏洞存在于生产环境中，审计未能发现，缺乏适当的发送者验证，资金混合在一个中央金库中。 6/

这是Balancer在五年内的第三次重大黑客攻击 2021年：损失数百万 2023年：在被警告后损失238K美元 2025年：超过1.16亿美元 这不仅仅是Balancer的问题。这是一个去中心化金融的幻觉问题 “经过审计” ≠ 安全。“经过实战检验” ≠ 可靠 7/

要点： 基本的访问控制漏洞仍在摧毁蓝筹协议。 如果你在开发：请仔细检查每个权限检查两次。 如果你是用户：“已审计”意味着有人看过一次，并不意味着它是万无一失的。 这并不复杂。我们只是粗心大意。 8/

去中心化金融（defi）可以做得更好。但首先，我们需要承认：基础知识仍然比炒作更重要。 随着链上轨迹的发展，我会发布更多内容。 9/

有一些报告显示，攻击者不仅仅是利用了权限。他们通过在 StableSwap 数学中造成精度损失来操纵 BPT 定价。 - 将一种代币耗尽到一个舍入边缘 - 利用舍入错误来压低 BPT 价格 - 低价回购 BPT，获利 /10

关于价格操纵的更多细节在这里[1] 仍在等待平衡器的官方回应。事情进展时会继续更新这个线程。 [1]