"Mỗi lần một hợp đồng lâu năm như thế này bị tấn công, việc ứng dụng DeFi lại bị trì hoãn từ sáu đến mười hai tháng." Đây là quan điểm được Hasu, Trưởng bộ phận Chiến lược tại Flashbots và Cố vấn Chiến lược của Lido, chia sẻ sau vụ hack gần đây nhằm vào Balancer.
Ngày 03 tháng 11, giao thức DeFi kỳ cựu Balancer đã hứng chịu một vụ tấn công chưa từng có, gây thiệt hại lên tới 116,6 triệu USD.
Khoản tiền khổng lồ này đã bị rút sạch thông qua lỗ hổng callback cross-chain trong hợp đồng thông minh của pool Balancer V2. Tính đến ngày 04 tháng 11, kẻ tấn công vẫn đang tích cực hoán đổi tài sản đánh cắp sang ETH thông qua Cow Protocol.
01 Tóm tắt sự kiện: Hàng trăm triệu USD bốc hơi trong chớp mắt
Vụ tấn công Balancer đã gây chấn động cộng đồng crypto vào ngày 03 tháng 11, với ước tính ban đầu về thiệt hại khoảng 70 triệu USD, con số này nhanh chóng tăng cao.
Tại thời điểm viết bài, tổng thiệt hại đã lên tới 116,6 triệu USD, đánh dấu sự cố bảo mật nghiêm trọng nhất trong lịch sử của Balancer.
Dữ liệu on-chain cho thấy các tài sản bị đánh cắp chủ yếu là token staking thanh khoản, bao gồm WETH, wstETH, osETH, frxETH, rsETH, rETH và một số loại khác.
Các tài sản này được phân bổ trên nhiều chuỗi—ETH, Base, Sonic—trong đó Ethereum chịu thiệt hại nặng nề nhất, chiếm gần 100 triệu USD.
02 Phân tích lỗ hổng: Thảm họa xuất phát từ một sai sót đơn giản
Các chuyên gia bảo mật đã nhanh chóng xác định nguyên nhân gốc rễ. Theo Defimon Alerts và Decurity, vấn đề nằm ở kiểm tra kiểm soát truy cập của hàm manageUserBalance trong giao thức Balancer V2.
Khi xác thực quyền rút tiền, hệ thống lẽ ra phải kiểm tra xem người gọi có phải là chủ tài khoản thực sự hay không. Tuy nhiên, đoạn mã lại kiểm tra sai, xác thực xem msg.sender (người gọi thực tế) có trùng với tham số op.sender do người dùng cung cấp hay không.
Vì op.sender là đầu vào do người dùng kiểm soát, kẻ tấn công dễ dàng giả mạo danh tính và vượt qua kiểm tra quyền truy cập.
Việc một lỗi kiểm soát truy cập cơ bản như vậy xuất hiện trong giao thức đã vận hành năm năm khiến các chuyên gia bảo mật không khỏi bất ngờ.
03 Góc nhìn lịch sử: Sáu sự cố bảo mật trong sáu năm
Nếu tiêu đề "Balancer bị hack" nghe quen thuộc, bạn không phải là người duy nhất. Đây thực chất là sự cố bảo mật lớn thứ sáu của Balancer trong vòng năm năm.
Nhìn lại lịch sử bảo mật của Balancer cho thấy một bức tranh đáng suy ngẫm:
- Tháng 06 năm 2020: Lỗ hổng token giảm phát, thiệt hại khoảng 520.000 USD
- Tháng 03 năm 2023: Thiệt hại gián tiếp từ sự cố Euler, khoảng 11,9 triệu USD
- Tháng 08 năm 2023: Lỗi độ chính xác pool V2, khoảng 2,1 triệu USD
- Tháng 09 năm 2023: Tấn công chiếm quyền DNS, khoảng 240.000 USD
- Tháng 06 năm 2024: Dự án fork Velocore bị hack, khoảng 6,8 triệu USD
Các vụ vi phạm bảo mật liên tiếp đã phơi bày sự mong manh không chỉ của Balancer mà còn của cả hệ sinh thái DeFi rộng lớn.
04 Tác động thị trường: Niềm tin sụp đổ, giá lao dốc
Thị trường đã phản ứng nhanh chóng và mạnh mẽ. Theo CoinMarketCap, token BAL (Balancer) giảm 7,13% trong ngày 03 tháng 11, đóng cửa ở mức 0,92 USD.
Vốn hóa thị trường hiện tại của BAL vào khoảng 62,2 triệu USD, giảm xấp xỉ 4,78 triệu USD so với ngày trước đó. Dữ liệu từ nền tảng Gate cho thấy giá BAL đã chịu áp lực kéo dài.
Niềm tin vào bảo mật của Balancer bị lung lay nghiêm trọng, nhà đầu tư chủ động điều chỉnh vị thế và áp lực bán tăng mạnh.
Một diễn biến đáng chú ý: LookonChain báo cáo rằng một cá voi crypto đã "ngủ quên" ba năm bất ngờ tỉnh giấc sau vụ khai thác Balancer, vội vàng rút 6,5 triệu USD tài sản khỏi nền tảng.
05 Hiệu ứng lan tỏa ngành: Biện pháp khẩn cấp và ngừng hoạt động
Để ứng phó với khủng hoảng, nhiều dự án tích hợp với Balancer đã triển khai các biện pháp khẩn cấp:
- Lido rút toàn bộ vị thế Balancer chưa bị ảnh hưởng
- Berachain thông báo tạm dừng toàn bộ mạng lưới để tiến hành hard fork khẩn cấp vá lỗ hổng BEX liên quan đến Balancer V2
- Nhà sáng lập Berachain, Smokey The Bera, cho biết đội ngũ Ethena đã vô hiệu hóa cầu nối Bera và tạm ngừng các hoạt động thị trường liên quan
Những động thái này cho thấy vai trò trung tâm của Balancer trong hệ sinh thái DeFi, đồng thời nhấn mạnh việc một lỗ hổng của một giao thức có thể gây rủi ro hệ thống.
06 Tương lai bảo mật DeFi: Từ "nợ kỹ thuật" đến quản trị rủi ro
Một trong những điểm sáng tạo của Balancer—cho phép tối đa tám token với tỷ trọng tùy chỉnh trong một pool—cũng chính là "gót chân Achilles" của giao thức.
So với thiết kế tối giản của Uniswap, độ phức tạp của Balancer tăng theo cấp số nhân. Mỗi token bổ sung đều mở rộng trạng thái pool và bề mặt tấn công.
Balancer lựa chọn phát triển nhanh, liên tục bổ sung tính năng mới trên nền mã nguồn cũ từ V1 sang V2 và Boosted Pools.
Việc tích lũy "nợ kỹ thuật" này đã biến mã nguồn thành một "chồng khối" mong manh.
Trong năm 2025, bảo mật DeFi sẽ đối mặt với nhiều thách thức mới. Vụ tấn công TEE.Fail cho thấy ngay cả bảo mật phần cứng cũng có thể bị vượt qua với công cụ chỉ trị giá 1.000 USD.
Các vector tấn công đã chuyển từ lỗi hợp đồng thông minh sang lỗ hổng vận hành, với 80,5% thiệt hại hiện nay xuất phát từ phishing, airdrop giả mạo và lộ khóa riêng—những rủi ro ngoài chuỗi.
Để đối phó, các giải pháp như mật mã zero-knowledge và ví multisig đã giúp giảm thiểu thiệt hại do khai thác xuống 90% kể từ năm 2020.
07 Hướng dẫn nhà đầu tư: Thận trọng vượt qua rủi ro
Đối với nhà đầu tư, sự cố này là lời cảnh tỉnh rõ ràng. Tham gia DeFi đòi hỏi sự cảnh giác cao độ:
- Rút khỏi các pool bị ảnh hưởng: Ngay lập tức rút tài sản khỏi các pool Balancer V2 để tránh mất thêm
- Thu hồi quyền cấp phép: Sử dụng Revoke, DeBank hoặc Etherscan để hủy quyền truy cập hợp đồng thông minh với địa chỉ Balancer
- Ưu tiên dự án đã kiểm toán: Lựa chọn giao thức có kiểm toán hợp đồng thông minh kết hợp giám sát thời gian thực và cơ chế ngắt mạch
- Sử dụng ví multisig: Giảm thiểu rủi ro điểm lỗi đơn, đặc biệt với khoản đầu tư lớn
Nhìn về phía trước
Tính đến ngày 04 tháng 11, cập nhật mới nhất cho thấy hacker Balancer vẫn đang hoán đổi các token staking thanh khoản bị đánh cắp sang ETH qua Cow Protocol. Các chuyên gia phân tích on-chain ghi nhận kẻ tấn công liên tục chuyển đổi tài sản trên nhiều chuỗi sang ETH, USDC và các token lớn khác.
Đội ngũ chính thức của Balancer đã đề xuất khoản thưởng white-hat 20% cho việc hoàn trả tài sản bị đánh cắp, hiệu lực trong 48 giờ. Tuy nhiên, hy vọng phục hồi đang dần mờ nhạt.
Đối với người quan sát, DeFi vẫn là một thử nghiệm xã hội mới mẻ; với người tham gia, mỗi vụ khai thác là bài học đắt giá; với toàn ngành, xây dựng hệ sinh thái DeFi vững mạnh chính là cái giá của sự trưởng thành.
