在 11 月 3 日,DeFi 世界震動,因為 Balancer V2 和幾個從其代碼分叉的項目遭到協調攻擊,導致總損失超過 1.25 億美元。
💥 發生了什麼事?
攻擊者利用 Balancer 價格計算公式中的四捨五入錯誤——該公式是為包含類似價值的資產(如穩定幣或流動質押代幣)的池設計的。
🔻在擴展數字時,系統總是向下取整
🔺在壓縮時,它可能會向上或向下取整
這些微小的四捨五入差異打開了一個漏洞,使攻擊者能夠操縱池內的代幣價格——策略性地交換以不自然地壓低價格,然後以人為折扣回購。
🧠 他們是如何做到的
攻擊者首先在鏈外模擬所有情況——精確計算如何觸發四捨五入的缺陷。
然後他們執行了:
🔹製作扭曲池價格的交換
🔹在被低估時回購代幣
🔹立即提取利潤 所有這一切發生得如此之快,以至於 Balancer 無法及時暫停系統,導致其他發現漏洞的人模仿攻擊。
📉 影響及啟示
🔹在攻擊中無法停止這一漏洞
🔹數十個池和分叉被掏空
🔹這突顯出即使是“微小”的數字四捨五入也能摧毀金融協議
✅ DeFi 的教訓已經學到
🔹這一事件重新點燃了對 DeFi 安全設計的辯論:
🔹四捨五入邏輯必須有利於系統完整性
🔹精確性至關重要——甚至到小數點級別
🔹像 BlockSec 的 Phalcon 這樣的即時異常檢測工具可以減少損失
🔹現代攻擊者在發動攻擊之前會模擬所有情況——協議需要始終領先一步
💭 你認為——DeFi 能否永遠“足夠安全”,還是攻擊者總能找到可以利用的小數點?👇