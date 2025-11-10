在加密世界裏，「被駭」似乎早已成為一種傳統工藝。從早年的Mt.Gox，到今日的Balancer，這條產業鏈上唯一穩定不變的，或許就是黑客永遠比審計公司快一步。每隔幾個月，總有新的安全事件上演，規模從幾十萬到上億美元不等，而社群的情緒也早已從震驚轉化為又來了。



今年11月初，老牌DeFi協議Balancer成為最新受害者。黑客透過一個細微的邏輯漏洞，利用協議的manageUserBalance函數，偽造了「費用歸屬」的錯誤帳本，成功將金庫資產據為己有，最終損失高達1.28億美元。



更令人錯愕的是，這個漏洞並非只存在於Balancer本體，而是透過其可組合架構感染了多達27個分叉協議，如同一場代碼層面的傳染病。過去我們讚美DeFi的「可組合性」，因為它讓創新像搭積木一樣自由。但當這些積木裏藏着一顆螺絲鬆脫的地雷時，整座城堡也可能在瞬間倒塌。



去中心化陷兩難



這一次，連多條公鏈上的協議都受牽連，從以太坊到Berachain、Arbitrum、Sonic，無一倖免。所謂「一行代碼救天下」，如今變成「一行代碼毀天下」。令人難以接受的是，Balancer V2曾接受過4間安全公司、合共11輪審計。



換句話說，這段代碼經過的「體檢次數」比一般人一年驗血還多。然而，漏洞依舊被忽略。這說明了甚麼呢？大家自己想想。當系統的邏輯錯誤深藏在協議互動之間，沒有任何自動化工具能真正理解那層複雜意圖。審計能找出拼錯的字母，卻未必能理解一句話背後的語病。



這場事件還暴露出另一個更深層的矛盾：當一條公鏈面臨重大損失時，是否該堅持「代碼即法律」？還是該選擇人工干預？Berachain為挽救用戶資金，選擇暫停整條鏈並回滾交易，成功追回約1200萬美元，但也因此被批評「不再去中心化」。



鄧力文