本来不想提Balancer的事情，因为这不是第一次了，如果没记错的话，是第五次了。既然今天有小伙伴问了，就顺便说下。Balancer是DeFi兴起时代最早期的玩家之一，甚至早于Uniswap V2，跟aave时间差不多。2020年上半年，在Balancer一推出时候就玩过，当时使用频繁，印象也深。 而Balancer协议的安全事件，并不是第一次，而是第五次，这次损失超过1亿美元，主要是涉及V2池的访问控制漏洞（manageUserBalance函数的权限验证问题）。攻击者通过伪造身份执行内部提款。如果回顾前几次的安全事件，第一次是通缩代币漏洞（攻击者利用闪贷操纵STA代币，每笔转账烧毁1%，耗尽池子兑换ETH、WBTC等）；第二次是Euler事件影响，Balancer的bb-e-USD池持有Euler的eToken，在Euler遭闪贷攻击时资金被转移。 第三次是，V2池精度漏洞。攻击者通过舍入误差操纵BPT供应，利用闪贷放大。第四次是，DNS劫持攻击。攻击者通过EuroDNS漏洞劫持balancer. fi域名，重定向用户到钓鱼站点，使用Angel Drainer合约窃取资金。而这次，则是利用V2访问控制漏洞攻击，攻击者绕过权限检查，伪造提款。 Balancer频繁遭受攻击，除了是defi行业本身的问题，也是Balancer自身的技术债务问题。Balancer在产品和协议创新（多资产加权池/Boosted Pools外部借贷集成等）的同时，增加了协议的复杂度，并扩大被攻击的表面（如通缩代币、精度误差、访问控制、DeFi可组合等）。 在迭代升级过程中，从V1到V2，往往更看重迭代和功能扩展，而不是彻底审计。有些漏洞是基本错误，如这次权限验证的问题，而不是高级攻击。DeFi行业应该把安全放第一位，而不是重增长（如TVL/交易量/激励）。2025年的DeFi攻击很大部分都是源于访问控制/重入，这个现象也值得其他DeFi协议重视。 在市场脆弱的时候，任何负面事件都会削弱对行业的信心，DeFi是加密领域少有的产品和需求匹配的领域，而同时又是有危险环生的领域，DeFi的野蛮生长逐渐走向尾声，最终要转向注重安全的成熟领域。 对于散户来说，最重要的启示，参与DeFi要适度，要留有余地。高收益很美，但也有刺。