2025年11月3日，DeFi协议Balancer遭漏洞攻击，跨以太坊、Base、Polygon、Arbitrum等多条区块链网络的总损失超1.28亿美元，为2025年规模最大的DeFi安全入侵事件之一，冲击自动化做市商（AMM）生态，波及27个基于Balancer代码库的分叉项目。

关键数据与核心细节：
1. 漏洞根源为Stable Math库内一处潜伏多年的舍入方向错误，2021年安全审计曾标记该问题但因无法证明可被利用，严重等级未被明确，即便该协议此前累计完成11次安全审计仍未彻底排查出风险
2. 攻击者通过batchSwap函数累积舍入损失扭曲价格、操纵可组合稳定池不变量、部署恶意合约铸造假代币篡改汇率，完成多笔未授权兑换
3. 攻击发生后Balancer原生代币BAL日内跌幅超8%，攻击者转移的资产包括6850枚OSETH、6590枚WETH、4260枚wSTETH

事件凸显DeFi攻击模式已从早期的访问控制失效，转向复杂算术与精度漏洞利用，暴露传统安全审计手段对复杂可组合漏洞的识别局限性，DeFi头部AMM及整个社区对此高度关注。目前攻击行动特征与朝鲜APT组织高度吻合，但暂无攻击主体溯源的确凿证据。

当前行业已给出对应指引：用户需暂停与受影响Balancer资金池交互，对Balancer衍生代码库开展全面审查，强化可疑合约部署的链上监控；安全研究人员呼吁行业普及全面不变量文档机制与形式化验证技术，防范同类漏洞复发，同时需警惕事件衍生的网络钓鱼行为，该类行为已加大资产追回难度。

译文内容由第三方软件翻译。

声明：市场有风险，投资需谨慎。本文由AI大模型基于公开信息生成，不代表Hehson财经观点。文中所有信息、数据及图表仅供参考，不构成任何形式的投资建议或决策依据，相关信息以实际公告为准。如有疑问，请联系：biz@staff.sina.com.cn。