Gnosis 鏈硬分叉行動:追回 Balancer 漏洞竊取的上億資金
2023 年 11 月初,去中心化交易所 Balancer 遭遇嚴重安全漏洞,損失超過 1.16 億美元的數位資產。事發後,Gnosis 鏈營運團隊迅速採取行動,於 12 月執行硬分叉(hard fork),成功將部分資金置於駭客控制範圍之外,為受影響用戶帶來一線希望。
硬分叉背後的緊急應變機制
Gnosis 鏈的基礎設施負責人 Philippe Schommers 在 12 月 12 日的論壇貼文中指出:「目前社群仍在熱烈討論如何讓用戶領回資金,以及如何表彰或補償參與救援行動的貢獻者。」他強調,團隊首要目標是在聖誕節前完成資金回收,並確保這些資產安全存入由 DAO 控制的錢包中。
「一旦資金安全歸位,我們再來處理其他細節。」值得注意的是,這次硬分叉並非倉促決定。早在 11 月漏洞曝光後,Gnosis 鏈多數驗證節點已先採用軟分叉(soft fork)凍結相關合約活動,為後續硬分叉鋪路。
Balancer 漏洞事件始末
高達 1.16 億美元的資產外流
11 月 3 日,Balancer 宣布其 V2 版本的「可組合穩定池」(Composable Stable Pools)遭駭,攻擊者透過漏洞轉移大量質押中的以太幣(stETH)及其他代幣。鏈上數據顯示,數千萬美元資產被迅速轉至新錢包地址。
儘管 Balancer 團隊隨即懸賞 20% 的獎金鼓勵白帽駭客協助追回資金,最終僅約 2,800 萬美元成功返還,其餘大部分資產仍處於風險之中。
11 次審計仍未能防堵漏洞
令人震驚的是,根據 Balancer 官方 GitHub 公開的審計清單,該協議 V2 合約曾接受四家知名安全公司共計 11 次審計。然而,漏洞仍發生在「V2 Composable Stable Pools」模組中,凸顯即使經過多重審查,複雜 DeFi 協議仍存在難以預見的風險。
- 審計機構包括 OpenZeppelin、Trail of Bits、Certora 與 Sigma Prime
- 漏洞根源與池內資產兌換邏輯的邊界條件有關
- 攻擊者利用重入(reentrancy)與狀態不一致等手法套利
社群治理與資金歸還機制
目前,Gnosis 鏈已透過硬分叉將受影響資金轉移至一個由 DAO 管理的多重簽名錢包。下一步關鍵在於建立公平透明的申領流程:
| 階段 | 內容 |
|---|---|
| 第一階段 | 確認原始資產持有者身份與損失金額 |
| 第二階段 | 設計申領智慧合約,防止冒領 |
| 第三階段 | DAO 投票決定是否對救援者提供獎勵 |
此舉不僅考驗技術執行力,更涉及去中心化治理的信任重建。正如 Schommers 所言:「這不只是技術問題,更是社群共識的實踐。」
常見問題解答
一般用戶何時能領回被盜資金?
根據 Gnosis 團隊規劃,若進度順利,最早可在 2023 年聖誕節前啟動申領程序,但實際時間仍需視 DAO 最終決議與合約部署情況而定。
硬分叉會影響我的 Gnosis 鏈資產嗎?
不會。本次硬分叉僅針對與 Balancer 漏洞相關的特定合約與交易進行回滾或修正,一般用戶的錢包餘額與其他 DeFi 操作不受影響。
為什麼不直接凍結駭客錢包?
區塊鏈本質上無法單方面凍結地址。Gnosis 選擇硬分叉是因多數驗證節點共識支持,透過協議層變更使資金「失效」或轉移至安全地址,而非依賴中心化手段。
參與救援的白帽駭客會獲得報酬嗎?
團隊已承諾將透過 DAO 投票決定是否給予獎勵。初步規劃可能包含現金獎勵或治理代幣激勵,具體方案尚未公布。
未來如何避免類似漏洞?
除了加強審計,業界正推動「形式化驗證」(formal verification)與「沙盒測試環境」普及化。同時,許多項目開始導入「漸進式資金釋放」機制,限制新合約初期可動用資金上限,以降低風險敞口。
