去中心化交易所 Balancer V2 遭駭 1.28 億美元

2025 年 11 月 3 日，老牌去中心化交易所 Balancer 宣布其 V2 可組合穩定池（Composable Stable Pools）遭到大規模攻擊，約 1.25～1.28 億美元資產在短時間內被從多條鏈上的金庫轉走，成為今年規模最大的一起去中心化協議漏洞事件之一。遭鎖定的多是高價值資產，包括 WETH 與各類質押以太幣衍生品（wstETH、osETH、frxETH 等），影響範圍從 Ethereum 擴散到 Base、Arbitrum、Polygon、Optimism、Gnosis、Berachain、Sonic 等多個網路，以及一批直接採用 Balancer V2 程式碼的分叉協議。

後續技術分析顯示，這是一條由兩個舊問題串起來的攻擊路徑。第一步，攻擊者利用 batchSwap 等功能，在同一筆交易中重複大量精心設計的交換，把特定資產的池內餘額壓到極低區間，放大原本應是誤差等級的四捨五入問題，在 Balancer 內部帳本上「生出」不成比例的資產部位；第二步，再利用 manageUserBalance 權限驗證的設計缺陷，假冒成任意帳戶，要求系統把這些帳面數字兌換成金庫裡的真實代幣，完成超過一億美元的提款。事後多家安全團隊與官方都證實，關鍵的精度問題早在 2021 年審計時就被點出，只是當時被認為實務上攻擊難以得逞，沒有被當成必須處理的風險，結果成了延宕四年的定時炸彈。

事件爆發後，衝擊迅速在鏈上擴散：Balancer 的 TVL 在幾天內近乎腰斬，資金加速撤出，與 Balancer V2 深度整合或 fork 的協議同步中箭，被迫關閉金庫、暫停策略或重構產品。部分資產後來確實被追回，但手段多半依賴明確的控制權與特權機制，例如 StakeWise 動用緊急多簽調整合約、Berachain 停止出塊並透過硬分叉凍結攻擊資產、中心化穩定幣發行方直接黑名單地址。這些選擇在技術上挽回了部分損失，也同時攤開一個難題：當風險真實來臨，DeFi 協議實際運作往往仍仰賴「可以出手干預的人」，而不是真正百分之百不可干預的程式。

對整個生態來說，這起事件被普遍視為一個轉折點。它打破了「審計很多次就等於安全」的想像，提醒開發者與投資人，未來的攻擊更可能藏在數學細節與經濟設計裡，而不只是顯眼的程式錯誤。同時也逼著協議社群去面對一個現實問題：在強調去中心化、不可篡改與無需信任的同時，是否仍需要為極端情況預留一個有共識的「最後防線」。

• 資訊來源：Balancer、Forklog、CheckPoint

Stream Finance 虧損 9,300 萬美元引發 DeFi 海嘯，共 2.85 億美元資金遭受波及

2025 年 11 月，去中心化收益協議 Stream Finance 宣布旗下一名外部基金經理在市場波動中造成約 9,300 萬美元的虧損，並隨即凍結所有存款與提款。這場危機迅速引爆由 Stream Finance 發行的收益穩定幣 xUSD 信任崩潰，幣價從 1 美元暴跌至 0.26 美元。

更大的問題在於 Stream Finance 長期與其他 DeFi 協議形成高度交織的資金循環。多家借貸平台（如 Euler Finance、Silo Finance、Morpho）及策略管理方（Re7 Lab、Varlamore Capital、TelosC、MEV Capital）皆透過「策展人（Curator）」機制將用戶資金配置進 Stream 的高收益策略。當 xUSD 崩盤後，這些資金鏈條瞬間斷裂，導致整個生態出現約 2.85 億美元的連鎖曝險。

Stream 宣布已聘請 Perkins Coie 律師事務所調查並擬對該經理提告；同時，Silo DAO 亦啟動集體法律行動，代表出借人向 Stream 追討債務。這起事件成為 DeFi 歷史上少見的「去中心化對去中心化」法律對抗案例，也暴露出 DeFi 世界中「策展人模式」與「循環槓桿」的結構性風險。當收益來源不透明、責任歸屬模糊時，一個匿名基金經理的失誤，足以引爆整個鏈上金融體系的脆弱骨牌。

• 資訊來源：Stream Finance、CCN、thedefiant

日本三大銀行啓動穩定幣合作試驗

日本三大金融集團 —— 三菱 UFJ 銀行、三井住友銀行、瑞穗銀行 —— 近日宣布共同推動一枚以日圓為基礎的穩定幣，並獲得監管機構 Financial Services Agency（FSA）納入試驗計劃，標誌著日本傳統銀行業在數位支付與區塊鏈應用上的新里程碑。該穩定幣目前處於「概念驗證（Proof‐of‐Concept）」階段，主要為企業客戶跨境或跨公司內部結算使用。

此案對日本有多重意義。一方面，它展現政府與監管機構對數位支付創新的支持態度，可能加速日本從現金與信用卡主導的支付體系轉型；另一方面，它也為將來消費者支付、外國人在日交易、跨境匯款架構設定新變量。雖然目前尚未全面面向一般民眾或觀光外國人，但對於企業與金融基礎建設來說，已是一大步。再從國際視角觀察，日本此舉也代表亞洲金融體系在穩定幣領域不再僅僅作為跟隨者，而開始發聲，儘管與美元主導的穩定幣體系相比，其全球影響力尚需時間醞釀。

未來關鍵在於該穩定幣能否突破銀行內部結算的限制，進入零售與跨境場景；監管體系是否可同步完善；以及日本銀行業能否在全球穩定幣競賽中取得實質一席。

• 資訊來源：Nippon、路透社

Coinbase 執行長唸出關鍵詞，好玩卻搞砸預測市場

2025 年 10 月 30 日，Coinbase 公布亮眼第三季財報，本來應該是一場標準的利多敘事：營收、獲利與交易量全面優於預期，股價盤後上揚。然而他在結語時表示，自己一直在看一個預測市場，裡面有人押注 Coinbase 管理層在這場電話會議會說出哪些字。接著，他刻意唸出「Bitcoin、Ethereum、Blockchain、Staking、Web3」等關鍵詞，等同親手讓 Kalshi、Polymarket 等平台上相關「提及市場」（mention markets）的合約瞬間結算，約 8～9 萬美元押注就此定局。

事後 Armstrong 在 X 上將此事形容為「好玩、臨時起意」，Coinbase 也強調內部規定禁止員工參與相關賭盤，試圖淡化爭議。不過，這段即興發言很快引來兩種截然不同的反應：一邊是加密社群稱讚他「打破第四面牆」，覺得有趣、接地氣；另一邊則是傳統金融與部分機構投資人痛批這是「不專業」甚至「示範如何操縱市場」，質疑一家上市公司 CEO 是否理解自己在受監管場合上的角色邊界。

爭議的核心在於被預測對象一旦知道有「提及市場」，只要開口就能 100% 決定結果，等於用幾秒鐘時間證明這類合約「天生容易被操縱」。對 Kalshi 這種受 CFTC 監管的平台而言，這為監管機構提供了現成案例，質疑此類產品是否符合「不得易於操縱」的基本要求。

• 資訊來源：Coinbase、TechCrunch