从 Balancer 到 Berachain，当链被按下暂停键

撰文：ChandlerZ，Foresight News

DeFi 世界又一次陷入暴风眼。

多个基于 Balancer V2 架构的项目在 11 月 3 日遭遇一场精心设计的攻击，损失金额累计超过 1.2 亿美元。此次事件不仅波及以太坊主网，还蔓延至 Arbitrum、Sonic、Berachain 等多条链，成为继 Euler Finance 与 Curve Finance 事件之后，又一起震动全行业的安全事故。

BlockSec 初步分析指出，这是一种「高复杂度的价格操纵攻击」，核心在于攻击者通过扭曲 BPT（Balancer Pool Token）价格计算逻辑，利用不变式（Invariant）中的舍入误差，制造价格失真，从而在一次批量交换中反复套利。

以 Arbitrum 上的攻击交易为例，攻击分为三个阶段：

• 攻击者先将 BPT 兑换为基础资产，精确调整 cbETH 余额至舍入边界（数量约为 9），为后续制造精度损失创造条件；

• 随后，以特定数量（=8）在另一种基础资产 wstETH 与 cbETH 之间进行兑换，由于缩放时出现向下舍入，计算得出的 Δx 略微减少，使 Δy 被低估，导致稳定池不变式 D 变小，进而压低了 BPT 的理论价格；

• 最后，攻击者将基础资产反向兑换回 BPT，从被压低的价格中实现套利获利。

简言之，这是一场建立在数学与代码边界上的精准打击。

Balancer 官方证实，确认 V2 Composable Stable Pools 遭受漏洞攻击。目前团队已与顶级安全研究人员合作展开调查，并承诺尽快分享完整的事后分析报告，所有可暂停的受影响池已被紧急冻结并进入恢复模式。本次漏洞影响仅限于 V2 Composable Stable Pools，不影响 Balancer V3 或其他池类型。

在 Balancer V2 漏洞事件爆发后，fork Balancer 的项目皆出现剧烈震荡。根据 DeFiLlama 数据，截至 11 月 4 日，相关项目总锁仓量仅剩约 4,934 万美元，单日下跌 22.88%。其中，BEX 作为 Berachain 原生的 DEX，TVL 下降 26.4% 至 4,027 万美元，仍占整个生态的 81.6%，但因链上停机与流动性冻结，资金外流仍在持续。另一受害者 Beets DEX 表现更为惨烈，24 小时 TVL 暴跌 75.85%，过去 7 天累计下跌近 79%。

除上述协议外，其他基于 Balancer 架构的 DEX 同样出现恐慌撤资。PHUX 一日下跌 26.8%，Jellyverse 下跌 15.5%，Gaming DEX 更是崩跌 89.3%，流动性几乎被清空。即便未直接受害的中小项目，如 KLEX Finance、Value Liquid、Sobal 等，也普遍录得 5%–20% 的资金流出。

连锁反应开始显现，Berachain 紧急进行硬分叉

这场源于 Balancer V2 的漏洞，很快引发了更大的连锁反应。

基于 Cosmos SDK 构建的新兴公链 Berachain，因 BEX 同样采用了 Balancer V2 的合约架构，也在数小时内被黑客攻击。基金会在发现异常后，迅速宣布「全链停机」。

据悉，BEX 的 USDe Tripool 等流动性池资产遭受威胁，受影响资金规模约 1,200 万美元。攻击者利用与 Balancer 相同的逻辑漏洞，通过多笔智能合约交互窃取资金。由于部分资产为非原生代币，团队必须借助硬分叉回滚部分区块来完成恢复与追踪。

同时，Berachain 生态的多个协议，包括 Ethena、Relay、HONEY 等，也同步采取防御措施：

• 禁止 USDe 跨链转出；

• 暂停借贷市场相关存款；

• 停止 HONEY 的铸造与赎回；

• 通知中心化交易所黑名单可疑地址。

Berachain 基金会发文称，此次 Berachain 网络暂停是有计划的，网络将在不久后恢复正常运营。Balancer 漏洞主要影响了 Ethena/Honey 三池，通过相对复杂的智能合约交易造成。由于该漏洞影响了非原生资产（不仅仅是 BERA），回滚 / 前滚的过程不仅仅是简单的硬分叉，因此在最终解决方案确定之前，将暂停网络以完成全面解决方案。

11 月 4 日，Berachain 基金会表示，目前硬分叉二进制文件已分发，部分验证节点已升级。在重新上线并再次生成区块之前，其希望确保链上运行所需的核心基础设施合作伙伴（如清算预言机）已更新其 RPC，它们将是恢复链上运行的主要障碍。在完成核心服务的 RPC 请求后，团队将与跨链桥、CEX 合作伙伴、托管机构等协调以恢复服务。

同时一位有 Berachain MEV 机器人运营商在链暂停后联系基金会，称其为「白帽」提取资金，并发送链上消息。其表示愿意预先签署一系列交易，以便在区块链上线后将资金转回。

安全优先还是去中心化？

「我们知道这具争议性，但当约 1,200 万美元用户资产面临威胁时，保护用户是唯一的选择。」Berachain 联合创始人 Smokey The Bera 在面对社区质疑「中心化」问题时表示。

他在声明中坦承，Berachain 尚未达到以太坊级别的去中心化，验证者之间的协调机制更像「危机指挥部」，而非自动化共识网络。事实是，链上节点在漏洞出现不到一小时内便同步停机，展现了集中决策的效率，也暴露了治理层的集中化程度。

社群反应随即分裂。

支持者认为，此举体现了团队对用户安全的责任感，是「现实主义的去中心化」；反对者则指责这违背了「Code is Law（代码即法律）」 的原则，是对链上不可逆性的公然背叛。

链上侦探 ZachXBT 在评论中表示，「在用户资金岌岌可危的情况下，这是困难但正确的决定。」

但也有激进派开发者直言不讳：「如果区块链可以随时被人为按下暂停键，那么它与传统金融系统又有什么区别？」

DAO 事件的影子再现

这场风波让许多业内人士想起 2016 年以太坊 DAO 被黑事件。当时，以太坊为追回被盗的 5,000 万美元，决定通过硬分叉回滚交易，结果导致社区分裂为以太坊（ETH）与以太坊经典（ETC）。

九年过去，类似的选择再次出现。

不同的是，这一次的主角是一个尚处于发展初期的公链，它没有足够的去中心化程度，也没有全球共识支撑的体量。

Berachain 的人为干预虽然阻止了更大范围的损失，却再次引发关于「区块链是否真能自治」的哲学拷问。

某种意义上，这也是 DeFi 生态的一面镜子：安全、效率、去中心化 —— 三者之间的平衡从未真正实现。

当黑客能在数秒内摧毁数千万美元资产时，「理想」往往不得不为「现实」让路。

Balancer 官方表示，团队正在与顶级安全研究人员合作，计划发布完整的事后分析报告，并提醒用户谨防假冒安全团队的诈骗消息。

Berachain 方面则预计将在硬分叉完成后，逐步恢复区块生产与交易功能。

不过信任的恢复比漏洞修复更困难。对一个新兴公链而言，暂停链是短期救火，却可能在社区留下长期伤痕。用户会质疑其去中心化的真实性，开发者会担忧是否还有不可篡改的保障。

DeFi 的世界，或许正在重新定义去中心化，不是绝对的放任，而是在危机中找到最小妥协的共识。