Balancer V2 超 1 亿美元被黑原因分析
近日,区块链安全公司慢雾余弦发布了关于Balancer V2遭遇超过1亿美元攻击事件的详细分析报告。报告指出,事件的根本原因在于Balancer V2 Composable Stable Pool(可组合稳定池)的实现存在设计缺陷,具体体现在基于Curve StableSwap算法的Stable Math模块对缩放因子(scalingFactors)执行整数定点运算时存在精度丢失问题。
在代币兑换过程中,这种精度丢失会产生微小的价差或误差,单笔交易可能仅涉及极小的利润。然而,攻击者通过低流动性环境下的小额连续兑换,将这些微小误差放大,从而实现显著的累计利润。换句话说,这种漏洞具备“复利效应”,使得攻击者能够在短时间内获取巨额收益。
报告进一步指出,该漏洞主要源于整数定点运算处理机制的不完善。在高精度金融计算中,任何舍入或精度丢失都可能引发链上资产的不当流动,尤其是在复合型池子中,多个代币间的兑换和流动性交互会进一步放大这种效应。慢雾余弦分析称,攻击者精确利用了池子在低流动性条件下的脆弱性,通过反复操作,将微小误差转化为可观的利润。
此次事件暴露出去中心化金融(DeFi)协议在高复杂度数学模型实现中的潜在风险。尽管Combinable Stable Pool设计初衷是提高流动性管理效率和代币兑换的灵活性,但在实现上对精度控制不足,最终成为安全漏洞。报告强调,类似基于Curve算法的池子在未来迭代时,需要对整数定点运算精度进行严格审查,并在低流动性场景下引入防护机制以避免类似攻击。
慢雾余弦建议DeFi协议开发者在智能合约设计时,应充分考虑边界条件和复利效应的累积风险,同时引入多层安全措施,如交易限额、异常监控和自动暂停机制,以降低潜在损失。报告还呼吁社区和安全团队加强跨链和跨池的监控能力,防止攻击者利用不同池子的互操作性进行多链套利。
总体而言,Balancer V2超1亿美元被黑事件,充分说明了DeFi协议在高复杂度金融逻辑实现中的潜在安全风险,也凸显了智能合约在数学精度、边界条件和流动性管理方面必须高度谨慎。此事件为整个行业敲响了警钟,提醒开发者和投资者在追求创新与效率的同时,更应重视安全性和精度控制。