Balancer两个流动性矿池今晨被爆出遭到闪电贷攻击，被转移资产价值约为50万美元。Balancer官方随即对此事发布博客进行回应。Balancer团队对攻击的方式进行了一次简单回顾： 1.使用闪电贷从dYdX借出ETH然后转换为WETH； 2.持续交易WETH和STA在每笔交易中，STA都有一笔转移费用，而矿池希望接收到的资产中能省去这笔费用； 3.在足够的交易之后，攻击者调用了gulp()它将内部池计算的代币余额同步到了存储在代币跟踪器合约中的实际余额里； 4.由于STA的余额接近于零，它相对于其他代币的价格非常高，攻击者现在可以非常便宜地使用STA去交换池中的其他资产。 Balancer表示虽然此前的确没有意识到这种特定类型的攻击是可能的，但团队一直在文档、discord和其他频道中警告ERC20s代币对转移费用可能在协议中产生的意想不到的影响。这也是为什么STA没有被包括在最近合并的BAL挖矿白名单中。系统是为兼容的ERC20设计的，当代币以非预期的方式运行时，就会发生不好的事情。Balancer是一种不需要授权的协议，这也就说明智能合约中或许会被添加上含有恶意性质的代币。下一步措施： 将开始向UI黑名单中添加转移费标记，类似于我们为无矿池转移标记所做的。不过这些列表将仍是不详尽的，任何新的代币都可以在任何时候添加到Balancer中。 将添加更多关于这些池如何工作的风险的文档，以及损坏或恶意设计的令牌如何可能从池中流失资产。 Balancer已经经历了2次完整的审计，并且已经计划了第三次审计(今天之前)，Balancer将继续审核和审查该方案