Balancer发布漏洞攻击事件报告：系批量兑换交易四舍五入逻辑错误被利用

Balancer V2可组合稳定池遭遇批量兑换交易逻辑错误攻击

在数字化金融资产日益增长的现代社会中，去中心化交易所（DEX）因其透明、安全、不可篡改等特性获得了广泛关注。Balancer 作为DEX领域的重要玩家之一，近期却遭受了一次严重的漏洞攻击事件。2025年11月6日，Balancer官方发布了一项关于其V2可组合稳定池的漏洞攻击事件报告，揭示了在多条区块链上（包括Ethereum、Base、Avalanche、Polygon、Arbitrum等）发生的一次针对EXACT_OUT交易的批量兑换逻辑错误被攻击者利用。

此次攻击的核心在于Balancer V2的可组合稳定池在执行交易时，由于四舍五入逻辑的缺陷，使得攻击者能够操控池内的资产余额，从而非法提取资金。这一漏洞仅对Balancer V2的可组合稳定池造成影响，而其V3版本以及其他类型的池型并未受到此次攻击的影响。

面对突发的安全危机，Balancer团队迅速采取行动，与安全合作伙伴及白帽黑客紧密协作。他们利用Hypernative技术迅速暂停了受影响的交易，并对资产进行了冻结处理。在此基础上，还部署了SEAL框架下的应急措施，通过白帽黑客的协助有效遏制了攻击范围的进一步扩大，并且成功追回了部分被盗取的资产。

其中，StakeWise团队通过紧急干预，追回了约73.5%的osETH资产；而BitFinding与Base MEV bot等安全团队的加入，也为资产的回收工作提供了极大的帮助。目前，Balancer正与SEAL、zeroShadow等安全伙伴合作，展开跨链追踪和资金恢复工作。所有最终经过核实的损失及恢复数据都将被纳入完整的技术复盘报告中进行公布。

官方在此次事件中特别提醒用户，为了确保信息的安全性，用户应仅通过Balancer官方渠道来获取确认信息。同时，对于未受影响的Balancer V3及其他类型的池型操作，官方亦表示依然安全可控。

此次攻击暴露了DEX在产品设计和安全性方面的一个潜在缺陷，也警示了整个去中心化金融领域对风险的重视和防范意识。随着区块链技术的不断发展，DEX作为金融服务的重要组成部分，其安全性将日益成为用户选择的重要考量因素。Balancer通过此次事件展现出的应急响应速度和合作精神，为行业内的安全事故处理提供了宝贵的经验。未来，DEX的安全性需要更多的技术支持和社区协作，以确保数字资产的流通安全和用户的利益不受损害。