邓力文 - 加密项目不停被骇 | Exchange²

Exchange²

邓力文

2025-11-10 02:00 HKT

阅讀更多

产经专栏

內容

在加密世界里，「被骇」似乎早已成为一种传统工艺。从早年的Mt.Gox，到今日的Balancer，这条产业链上唯一稳定不变的，或许就是黑客永远比审计公司快一步。每隔几个月，总有新的安全事件上演，规模从几十万到上亿美元不等，而社群的情绪也早已从震惊转化为又来了。

　　今年11月初，老牌DeFi协议Balancer成为最新受害者。黑客透过一个细微的逻辑漏洞，利用协议的manageUserBalance函数，伪造了「费用归属」的错误帐本，成功将金库资产据为己有，最终损失高达1.28亿美元。

　　更令人错愕的是，这个漏洞并非只存在于Balancer本体，而是透过其可组合架构感染了多达27个分叉协议，如同一场代码层面的传染病。过去我们赞美DeFi的「可组合性」，因为它让创新像搭积木一样自由。但当这些积木里藏着一颗螺丝松脱的地雷时，整座城堡也可能在瞬间倒塌。

去中心化陷两难

　　这一次，连多条公链上的协议都受牵连，从以太坊到Berachain、Arbitrum、Sonic，无一幸免。所谓「一行代码救天下」，如今变成「一行代码毁天下」。令人难以接受的是，Balancer V2曾接受过4间安全公司、合共11轮审计。

　　换句话说，这段代码经过的「体检次数」比一般人一年验血还多。然而，漏洞依旧被忽略。这说明了甚么呢？大家自己想想。当系统的逻辑错误深藏在协议互动之间，没有任何自动化工具能真正理解那层复杂意图。审计能找出拼错的字母，却未必能理解一句话背后的语病。

　　这场事件还暴露出另一个更深层的矛盾：当一条公链面临重大损失时，是否该坚持「代码即法律」？还是该选择人工干预？Berachain为挽救用户资金，选择暂停整条链并回滚交易，成功追回约1200万美元，但也因此被批评「不再去中心化」。

邓力文