Balancer漏洞与批量交换舍入错误有关；调查仍在进行中

去中心化金融平台Balancer已确认其V2协议及其在其他链上的分叉版本遭遇重大安全漏洞。

Balancer确认“重大”V2漏洞

去中心化金融平台Balancer承认，近期针对其V2协议及其他链上分叉版本的安全漏洞“影响严重”。在最新的公告中，Balancer未直接确认损失超过一百万美元，表示最终的损失数字仍在核实中，将在多方验证后公布。

这一确认发布于Stakewise DAO宣布从攻击者手中追回2,070万美元数字资产的24小时后。根据Bitcoin.com News等媒体报道，Balancer在黑客利用智能合约交互中的漏洞后，损失超过一百万美元。

一位分析师推测，攻击者可能使用了“vibe编码”或大型语言模型等技术来实施攻击。然而，Balancer在初步报告中指出，漏洞的根本原因是升级函数的四舍五入逻辑存在缺陷。

平台表示，设计用于输出精确金额的交换中持续向下取整的行为，使得攻击者能够系统性地提取价值。其解释如下：

“攻击者利用了不正确的四舍五入行为，结合batchSwap功能，操控池子余额并提取价值。在许多情况下，被攻击的资金仍然作为内部余额存放在Vault中，随后在后续交易中被提取。”

Balancer表示，目前正优先进行缓解措施和资金追踪，调查仍在进行中。平台还披露，维护着一份持续验证的内部账本，追踪攻击者资金流、白帽救援、冻结资产、已追回资金，以及协议和用户的提款情况。平台呼吁用户忽略网络上传播的非官方损失估算。

常见问答

• Balancer的DeFi协议发生了什么？ Balancer确认其V2协议及分叉链遭遇重大漏洞，损失仍在核实中。
• 据报道，Balancer被盗金额是多少？ 估计超过一百万美元，但Balancer尚未确认最终数字。
• 导致Balancer智能合约漏洞的原因是什么？ 升级函数的四舍五入逻辑存在缺陷，允许攻击者操控池子余额。
• 是否已追回部分被盗资金？ Stakewise DAO已追回2,070万美元，Balancer也在积极追踪和验证资金流向。