Balancer, một trong những giao thức tài chính phi tập trung lớn nhất với hơn $750 triệu được khóa tổng giá trị, đã trở thành nạn nhân mới nhất của một vụ khai thác tiền mã hóa tinh vi. Dữ liệu trên chuỗi tiết lộ rằng các kẻ tấn công đã rút thành công từ $70 triệu đến $88 triệu tài sản số từ các kho của giao thức trong một cuộc tấn công phối hợp ảnh hưởng đến nhiều mạng blockchain.
Vụ vi phạm xảy ra vào ngày 3 tháng 11 năm 2025, đánh dấu sự cố bảo mật chính thứ ba cho Balancer, làm dấy lên những lo ngại mới về tính dễ tổn thương của hạ tầng tài chính phi tập trung và thách thức liên tục trong việc bảo vệ các hệ thống hợp đồng thông minh phức tạp.
Dữ liệu blockchain được phân tích bởi CoinDesk cho thấy rằng số tiền bị đánh cắp bao gồm khoảng 6,850 StakeWise Staked ETH (osETH), 6,590 Wrapped Ether (WETH), và 4,260 Lido Wrapped Staked ETH (wstETH). Các tài sản này đã được chuyển từ địa chỉ hợp đồng kho của Balancer đến ví mới tạo trong một cuộc tấn công được các nhà nghiên cứu bảo mật mô tả là tính toán kỹ lưỡng và thực hiện khéo léo.
Công ty bảo mật PeckShield báo cáo rằng cuộc tấn công vẫn đang tiếp diễn trên nhiều chuỗi nơi Balancer được triển khai, với ước tính thiệt hại lên tới gần $88 triệu. Vụ khai thác chủ yếu ảnh hưởng đến các kho phiên bản 2 (V2) của Balancer triển khai trên mạng Ethereum, Sonic, Polygon, và Base, thể hiện sự hiểu biết tinh vi của kẻ tấn công về kiến trúc đa chuỗi của giao thức.
Nhà cung cấp phân tích chuỗi Cyvers ước tính lên tới $84 triệu trong các giao dịch đáng ngờ trên nhiều chuỗi liên quan đến vụ khai thác Balancer, trong khi các nguồn khác đặt số liệu gần hơn với $70 triệu. Sự khác biệt trong báo cáo tổn thất phản ánh bản chất đang tiếp diễn của cuộc tấn công và thách thức trong việc theo dõi tài sản trên nhiều mạng blockchain trong thời gian thực.
Lỗ hổng kỹ thuật bị lộ
Theo phân tích sơ bộ từ các nhà nghiên cứu bảo mật, cuộc tấn công khai thác một lỗ hổng nghiêm trọng trong chức năng "manageUserBalance" của Balancer. Lỗ hổng bắt nguồn từ kiểm soát truy cập không đúng trong cơ chế xác minh của chức năng, cụ thể là trong thành phần validateUserBalanceOp.
Lỗ hổng cho phép các kẻ tấn công vượt qua kiểm tra bảo mật bằng cách thao túng cách hệ thống xác minh người gửi giao dịch. Trong điều kiện hoạt động bình thường, chức năng này phải xác minh chặt chẽ rằng người gửi thông điệp khớp với người gửi hoạt động. Tuy nhiên, lỗ hổng đã cho phép các bên không được phép thực hiện rút tiền nội bộ thông qua hoạt động UserBalanceOpKind.WITHDRAW_INTERNAL mà không cần ủy quyền.
Lỗi kỹ thuật này có nghĩa là các kẻ tấn công có thể kích hoạt việc rút tiền từ các hợp đồng thông minh của Balancer mặc dù không có các quyền cần thiết — một vi phạm cơ bản trong mô hình bảo mật của giao thức.
Hiểu kiến trúc kho của Balancer
Để thực sự hiểu được mức độ nghiêm trọng của vụ khai thác này, cần hiểu kiến trúc kho độc đáo của Balancer. Không giống như các sàn giao dịch phi tập trung truyền thống, nơi mỗi quỹ quản lý các token của riêng mình, Balancer V2 tiên phong một thiết kế cách mạng, nơi tất cả các token từ mọi hồ được giữ trong một hợp đồng thông minh duy nhất gọi là Kho.
Kiến trúc này, lần đầu được giới thiệu năm 2021, tách biệt việc tính toán token khỏi logic hồ, làm cho các hồ đơn giản và hiệu quả hơn. Mặc dù thiết kế này mang lại những lợi ích đáng kể - bao gồm giảm chi phí gas và cải thiện hiệu quả vốn - nó cũng tạo ra một mục tiêu giá trị cao cho các kẻ tấn công tinh vi. Một cuộc xâm nhập thành công vào Kho có thể ảnh hưởng đến nhiều hồ đồng thời, như được chứng minh qua sự cố lần này.
Ảnh hưởng thị trường và hậu quả ngay lập tức
Cuộc khai thác đã gây ra phản ứng thị trường ngay lập tức. Token BAL gốc của Balancer giảm hơn 5% từ đỉnh cao Thứ Hai khi tin tức về vi phạm lan truyền qua các thị trường tiền mã hóa. Sự sụt giảm của token phản ánh lo ngại của nhà đầu tư về tình trạng bảo mật của giao thức và nguy cơ tiềm ẩn của các lỗ hổng sâu hơn.
Các chuyên gia bảo mật đã quan sát thấy địa chỉ của kẻ tấn công bắt đầu hợp nhất tài sản bị đánh cắp ngay sau các cuộc rút ban đầu, dấy lên lo ngại về nguy cơ rửa tiền thông qua các bộ trộn phi tập trung hoặc các cầu nối cross-chain. Hành vi này phù hợp với các vụ khai thác DeFi lớn trước đây, trong đó các kẻ tấn công di chuyển nhanh để che giấu nguồn gốc của các khoản tiền bị đánh cắp trước khi rút tiền hoặc cố gắng thương lượng hoàn trả.
Một mô hình đáng lo ngại: Lịch sử an ninh của Balancer
Vi phạm mới nhất này thể hiện sự cố bảo mật chính thứ ba cho Balancer, thiết lập một mô hình đáng lo ngại về các lỗ hổng xuyên suốt lịch sử của giao thức.
Năm 2020, Balancer đã mất $500,000 khi một kẻ tấn công khai thác hai hồ thanh khoản bằng cách sử dụng một token giảm phát. Vụ tấn công lợi dụng cách các hợp đồng thông minh của Balancer xử lý các token ERC-20 không chuẩn, cụ thể là các token đốt phần mỗi lần chuyển tiền. Kẻ tấn công đã thao túng cơ chế này để rút WETH và các tài sản có giá trị khác khỏi các hồ bị ảnh hưởng.
Gần đây hơn, vào tháng 9 năm 2023, Balancer chịu lỗ $238,000 thông qua một cuộc tấn công kỹ thuật xã hội DNS tinh vi. Các tin tặc đã xâm nhập vào EuroDNS, công ty quản lý tên miền của Balancer, và chuyển hướng người dùng đến một trang web lừa đảo với hợp đồng thông minh độc hại. Cuộc tấn công này đã chỉ ra rằng các giao thức DeFi phải đối mặt với các mối đe dọa không chỉ từ các lỗ hổng hợp đồng thông minh mà còn từ các điểm yếu trong cơ sở hạ tầng web truyền thống.
Chỉ vài tuần trước cuộc tấn công DNS đó, vào tháng 8 năm 2023, Balancer đã tiết lộ một lỗ hổng nghiêm trọng trong một số hồ thanh khoản của mình dẫn đến các cuộc tấn công flash loan rút khoảng $1-2 triệu. Mặc dù giao thức đã nỗ lực cảnh báo cộng đồng và bảo vệ phần lớn các quỹ, công ty bảo mật PeckShield nhận thấy rằng thực tế tổn thất lớn hơn nhiều so với ước tính ban đầu.
An ninh DeFi: Một thách thức toàn ngành
Những khó khăn của Balancer phản ánh những thách thức bảo mật rộng hơn mà ngành DeFi đang phải đối mặt. Giao thức hoạt động trong một ngành công nghiệp nơi 87% công ty bị tấn công DNS vào năm 2021, và nơi mà các lỗ hổng hợp đồng thông minh tiếp tục gây ra tổn thất hàng tỷ đô la hàng năm.
Sự phức tạp của các giao thức DeFi - với sự tương tác hợp đồng thông minh phức tạp, hoạt động cross-chain, và cơ chế nhà tạo lập thị trường tự động - tạo ra nhiều vector tấn công. Ngay cả các giao thức trải qua kiểm toán sâu rộng cũng có thể ẩn chứa các lỗ hổng chưa được phát hiện, như đã được chứng minh qua vụ khai thác Balancer gần đây nhất nhắm vào một chức năng kiểm soát truy cập cơ bản.
Các chuyên gia bảo mật lưu ý rằng chu kỳ đổi mới nhanh chóng của DeFi thường vượt quá các thực tiễn an ninh tốt nhất. Các tính năng và tối ưu hóa mới có thể giới thiệu các lỗ hổng không rõ ràng ngay lập tức, ngay cả đối với các nhà kiểm toán và nhà phát triển có kinh nghiệm. Tính tự do của DeFi, trong khi cho phép đổi mới, cũng có nghĩa là một khi các lỗ hổng được phát hiện, kẻ tấn công có thể khai thác chúng ngay lập tức mà không có hạn chế.
Phản ứng của giao thức và phản ứng của cộng đồng
Tính đến thời điểm viết bài này, nhóm phát triển của Balancer chưa đưa ra phát biểu chính thức về vụ khai thác. Sự im lặng này, mặc dù gây lo ngại cho một số thành viên cộng đồng, không phải là điều bất thường ngay sau các sự cố bảo mật lớn. Các nhóm phát triển thường ưu tiên xác định phạm vi đầy đủ của các lỗ hổng và thực hiện các bản vá khẩn cấp trước khi đưa ra tuyên bố công khai có thể cảnh báo cho kẻ tấn công về những điểm yếu khác.
Nhiều nhà cung cấp phân tích blockchain, bao gồm Nansen và PeckShield, đã đánh dấu các giao dịch là đáng ngờ và đang chủ động theo dõi hoạt động độc hại hơn nữa. Cộng đồng bảo mật tiền mã hóa đã huy động để theo dõi số tiền bị đánh cắp và xác định các đường đi tiềm năng cho việc thu hồi tài sản.
Các nhà quan sát ngành chỉ ra rằng Balancer đã cung cấp một trong những giải thưởng lỗi lớn nhất trong lịch sử DeFi - lên tới 1,000 ETH hoặc $2 triệu cho các lỗi nghiêm trọng cho phép kho bị rút. Sự thật rằng lỗ hổng này dường như đã thoát khỏi sự phát hiện bất chấp những phần thưởng như vậy nhấn mạnh tính tinh vi của các vụ khai thác DeFi hiện đại.
Hệ quả cho tương lai của DeFi
Sự cố này đặt ra những câu hỏi quan trọng về sự bền vững của mô hình bảo mật hiện tại của DeFi. Với hơn $750 triệu tài sản người dùng đang gặp rủi ro, các giao thức như Balancer đại diện cho cơ sở hạ tầng tài chính đáng kể cần đến biện pháp bảo mật cấp độ doanh nghiệp.
Một số chuyên gia cho rằng DeFi cần áp dụng các thực tiễn phát triển bảo thủ hơn, bao gồm các thời gian chờ bắt buộc cho các triển khai mã mới, xác minh chính thức các hợp đồng thông minh quan trọng, và các hệ thống giám sát thời gian thực được nâng cao. Những người khác chỉ ra sự cần thiết phải cải thiện. Công cụ bảo mật và quy trình kiểm toán nghiêm ngặt hơn có thể xác định các lỗ hổng phức tạp, đa chiều trước khi chúng bị khai thác.
Bản chất đa chuỗi của cuộc tấn công này cũng làm nổi bật những thách thức an ninh ngày càng tăng khi các giao thức DeFi mở rộng trên nhiều mạng blockchain. Mỗi lần triển khai chuỗi mới nhân lên bề mặt tấn công và đòi hỏi phải điều chỉnh cẩn thận các biện pháp an ninh cho những môi trường blockchain khác nhau và kiến trúc máy ảo.
Suy nghĩ cuối cùng
Đối với người dùng Balancer, ưu tiên ngay lập tức là giám sát các thông báo của giao thức để được hướng dẫn về an ninh quỹ. Cộng đồng DeFi thường tập hợp xung quanh các giao thức bị ảnh hưởng, với các nhà nghiên cứu an ninh, các dự án cạnh tranh, và các tổ chức trong ngành thường cung cấp hỗ trợ trong việc theo dõi tiền bị đánh cắp và xác định lỗ hổng.
Ngành công nghiệp tiền điện tử rộng lớn hơn sẽ theo dõi chặt chẽ cách Balancer đáp ứng với sự cố an ninh lớn thứ ba này. Liệu giao thức có thực hiện các biện pháp an ninh nghiêm ngặt hơn không? Người dùng bị ảnh hưởng có được bồi thường không? Và quan trọng nhất, hệ sinh thái DeFi rộng lớn hơn sẽ rút ra những bài học gì để ngăn chặn các vụ khai thác tương tự?
Khi DeFi tiếp tục trưởng thành và thu hút sự tham gia của các tổ chức, các sự cố an ninh với quy mô lớn như thế này là những lời nhắc nhở rõ rệt rằng ngành công nghiệp vẫn đang phải đối mặt với những thách thức kỹ thuật đáng kể. Lời hứa của tài chính phi tập trung - các dịch vụ tài chính minh bạch, không cần sự cho phép và dễ tiếp cận - chỉ có thể được thực hiện nếu các giao thức có thể đảm bảo sự an toàn của quỹ người dùng.
Câu chuyện đang phát triển này nhấn mạnh thực tế rằng trong môi trường nhanh chóng, đặt cược cao của DeFi, bảo mật không chỉ là một yêu cầu kỹ thuật - nó là một nhu cầu tồn tại cho khả năng tồn tại lâu dài của ngành công nghiệp.