Balancer 剛剛被抽走了約 1.16 億美元 這並不複雜。這是他們的保管合約中的一個基本訪問控制漏洞 這是如何發生的，它揭示了什麼 - 以及為什麼這應該讓每個活著的 DeFi 協議感到恐懼： 1/

今天，漏洞影響了以太坊、Arbitrum、Polygon、Base、Optimism 等平台的 Balancer V2 超過 1.16 億美元消失。6,590 WETH。6,851 osETH。4,260 wstETH 所有資金均從 0xBA1...BF2C8 的核心金庫中提取 2/

錯誤出現在 "manageUserBalance" - 一個應該用來驗證誰可以移動資金的函數 相反地，它將 msg.sender 與用戶提供的 op.sender 欄位混淆了 攻擊者利用 WITHDRAW_INTERNAL 操作來提取他們從未存入的代幣 3/

這樣的情況更糟的是什麼？ Balancer V2 使用單一的保險庫來管理所有內容。每個池子，每條鏈。 一旦攻擊保險庫，就會影響到所有。 許多分叉也面臨風險。 4/

這是 Balancer 在五年內的第三次重大黑客事件 2021、2023，現在是 2025：超過 1.16 億美元，還在增加 5/

讓我們放遠點看。 Balancer 不是某個實驗。$750M 的總鎖倉價值。經過審計。 已經運行了好幾年。然而：一個基本的訪問控制漏洞卻存在於生產環境中，審計未能發現，沒有適當的發送者驗證，資金混合在一個中央金庫中。 6/

這是 Balancer 在五年內的第三次重大黑客事件 2021：損失數百萬 2023：在被警告後損失 238K 美元 2025：超過 1.16 億美元 這不僅僅是 Balancer 的問題。這是 DeFi 幻覺的問題 "經過審計" ≠ 安全。"經過實戰考驗" ≠ 可靠 7/

重點： 基本的存取控制漏洞仍在摧毀藍籌協議。 如果你在開發：每個權限檢查都要檢查兩次。 如果你是用戶："審計過"意味著有人看過一次，而不是說它是防彈的。 這並不複雜。我們只是粗心大意。 8/

deFi 可以做得更好。但首先，我們需要承認：基本面仍然比炒作更重要。 隨著鏈上數據的演變，我會發佈更多內容。 9/

有幾份報告指出，攻擊者不僅僅是利用權限。他們通過在 StableSwap 數學中的精度損失來操縱 BPT 價格。 - 使一種代幣耗盡至四捨五入邊緣 - 利用四捨五入錯誤來壓低 BPT 價格 - 以低價回購 BPT，獲利 /10

這裡有關於價格操縱的更多細節[1] 仍在等待平衡器的官方回應。事情發展時會持續更新這個主題。 [1]