去中心化交易平台Balancer近日发布了V2版本可组合稳定池遭遇攻击的初步报告。报告显示，11月4日，Balancer V2的可组合稳定池在多条主流区块链上，包括Ethereum、Base、Avalanche、Polygon、Arbitrum等，遭到恶意攻击。此次事件源于批量兑换（batchSwap）函数在处理EXACT_OUT交易时的四舍五入逻辑错误，当缩放因子为非整数时，函数会向下舍入，从而被攻击者利用操控池内余额并提取资产。

值得注意的是，此次攻击仅影响Balancer V2的可组合稳定池，其他类型的池如Balancer V3及非稳定池均未受影响。Balancer团队在事件发生后立即启动应急响应，与安全合作伙伴及白帽团队共同采取措施，通过Hypernative自动暂停、资产冻结以及SEAL框架下的白帽干预，有效遏制了攻击的进一步蔓延，并追回部分被盗资产。

报告中提到，StakeWise团队已成功追回约73.5%的被盗osETH，同时BitFinding、Base MEV bot等安全团队也协助追回部分资金。这表明，通过多方协作和技术干预，攻击损失得到一定程度的控制。Balancer官方强调，尽管部分资产已追回，但事件仍在进一步调查和处理当中，最终核实的损失及资产恢复情况将会在完整技术复盘报告中公布。

目前，Balancer正在与SEAL、zeroShadow等安全合作伙伴展开跨链追踪和资金回收工作，以确保尽可能减少损失。官方提醒用户，仅应通过Balancer官方渠道获取确认信息，并重申V3及非稳定池操作依然安全，用户无需过度担忧其他池型的安全性。

此次事件再次凸显了去中心化金融（DeFi）协议在复杂交易逻辑和跨链操作中存在的安全挑战。批量兑换函数的四舍五入漏洞虽然看似细微，但在攻击者的精确操作下，仍可能造成大量资产损失。这也提醒DeFi开发者在设计复杂交易机制时，必须严格考虑数值精度、边界条件及潜在攻击路径，防范系统性风险。

总体来看，Balancer团队在事件发生后迅速响应、动员白帽团队及安全伙伴追回资产，显示出其应急处置能力和社区协作效率。随着完整技术复盘报告的发布，行业将更清楚地了解漏洞细节、攻击机制以及防护经验，为DeFi安全治理提供重要参考。同时，此次事件也为投资者和用户敲响警钟，提醒大家在参与多链DeFi协议时应保持警惕，关注官方公告与安全动态。