Sàn giao dịch phi tập trung Balancer đã trở thành nạn nhân của một trong những vụ hack tiền mã hóa nghiêm trọng nhất năm 2025, với các kẻ tấn công rút đi khoảng $128 triệu trên bảy mạng blockchain trong một cuộc tấn công tinh vi vượt qua nhiều năm kiểm tra an ninh và gây sốc cho hệ sinh thái DeFi.
Cuộc tấn công, bắt đầu vào sáng sớm ngày 3 tháng 11, ban đầu dường như liên quan đến khoản lỗ khoảng $70 triệu, theo công ty phân tích blockchain Nansen. Tuy nhiên, chỉ trong vài giờ, các nhà nghiên cứu bảo mật tại PeckShield tiết lộ quy mô thực sự của cuộc tấn công: $128,64 triệu đã bị đánh cắp trên các mạng Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism và Polygon.
Các kẻ tấn công đã hành động nhanh chóng, chuyển 6,587 WETH trị giá $24,46 triệu, 6,851 osETH trị giá $26,86 triệu, và 4,260 wstETH trị giá $19,27 triệu sang ví mới tạo trước khi bắt đầu chuyển đổi các dẫn xuất staking lỏng bị đánh cắp sang Ethereum. Nền tảng phân tích blockchain Lookonchain đã báo cáo rằng hacker bắt đầu ngay việc hoán đổi tài sản bị đánh cắp thành ETH, dấy lên lo ngại về khả năng rửa tiền thông qua các bộ trộn phi tập trung hoặc cầu chuỗi xuyên.
Phân Tích Kỹ Thuật: Cách Cuộc Tấn Công Diễn Ra
Cuộc tấn công nhắm vào một lỗ hổng quan trọng trong Balancer's V2 Composable Stable Pools, đặc biệt trong chức năng "manageUserBalance" của giao thức. Theo các nhà nghiên cứu bảo mật, kiểm tra truy cập lỗi cho phép kẻ tấn công bỏ qua sự cho phép và thực hiện các rút tiền trái phép của các số dư bên trong.
Nhà phân tích trên chuỗi Adi đã giải thích trên X rằng "xử lý uỷ quyền không đúng cách và gọi lại cho phép kẻ tấn công vượt qua các biện pháp bảo vệ, cho phép hoán đổi trái phép hoặc thao túng số dư giữa các hồ bơi liên kết." Thiết kế phối hợp của giao thức, nơi nhiều hồ bơi tương tác mạnh với thanh khoản chia sẻ, đã làm tăng lỗ hổng và cho phép các hacker rút tài sản nhanh chóng trên nhiều chuỗi chỉ trong vài phút.
Ethereum chịu phần lớn thiệt hại, với khoảng $99 triệu bị đánh cắp từ mạng. Berachain theo sau với $12,86 triệu trong thiệt hại, đẩy các người xác thực của nó tạm dừng mạng và thực hiện một hard fork khẩn cấp để phục hồi quỹ người dùng. Arbitrum mất $6,86 triệu, Base $3,9 triệu, Sonic $3,44 triệu, Optimism $1,58 triệu, và Polygon $232,000.
Nỗ Lực Phục Hồi Nhanh Của StakeWise
Trong một câu chuyện thành công hiếm hoi giữa sự hỗn loạn, giao thức staking lỏng Ethereum StakeWise thông báo họ đã phục hồi một phần đáng kể của quỹ bị đánh cắp. Sử dụng các giao dịch multisig khẩn cấp, StakeWise DAO đã thành công lấy lại 5,041 osETH trị giá khoảng $19 triệu và 13,495 osGNO trị giá $1,7 triệu từ ví của kẻ tấn công.
Việc phục hồi đại diện cho 73,5% số osETH bị đánh cắp và 100% số token osGNO bị lấy đi trong cuộc tấn công. StakeWise xác nhận rằng quỹ phục hồi sẽ được trả lại cho các người dùng bị ảnh hưởng trên cơ sở tỷ lệ theo số dư trước cuộc tấn công của họ. Phần còn lại, trị giá khoảng $7 triệu, đã bị kẻ tấn công chuyển đổi sang ETH và không thể lấy lại được.
StakeWise nhấn mạnh trong một tuyên bố rằng các hợp đồng thông minh cốt lõi của nó và token osETH vẫn an toàn, vì lỗ hổng chỉ tồn tại trong cơ sở hạ tầng của Balancer. Việc phục hồi thành công đã làm giảm bớt phần nào lo ngại thị trường rằng lượng lớn ETH sẽ tràn vào thị trường, có thể ổn định cái nhìn ngắn hạn về giá của token.
Nghịch Lý Kiểm Toán: Làm Thế Nào 11 Đánh Giá Bỏ Lỡ Lỗi Quan Trọng
Điều có lẽ đáng lo ngại nhất về vụ Balancer là nó xảy ra bất chấp sự thận trọng về bảo mật cẩn thận. Các hợp đồng thông minh của Balancer đã trải qua 11 cuộc kiểm toán toàn diện bởi bốn công ty bảo mật hàng đầu — OpenZeppelin, Trail of Bits, Certora và ABDK — với cuộc kiểm toán hồ bơi ổn định gần nhất được thực hiện bởi Trail of Bits vào tháng 9 năm 2022.
Suhail Kakar, một nhà phát triển Web3 nổi tiếng, lưu ý rằng ngay cả khi hợp đồng vault cốt lõi của Balancer được xem xét bởi nhiều công ty độc lập, giao thức vẫn chịu một cuộc tấn công lớn. Vụ việc đã khơi lại cuộc tranh luận trong cộng đồng tiền mã hóa về việc liệu các mô hình kiểm toán truyền thống có đủ để giải quyết môi trường mối đe dọa đang phát triển trong DeFi hay không.
Các chuyên gia ngành từ các công ty pháp y blockchain quan sát rằng các vụ hack DeFi trong năm 2025 đã vượt quá $1 tỷ thiệt hại, với sai sót kiểm soát truy cập chiếm gần 40% tổng số vụ việc. Trường hợp của Balancer cho thấy rằng các đánh giá mã tĩnh, ngay cả khi được thực hiện nhiều lần, có thể không bắt được những lỗ hổng tinh tế trong các hệ thống DeFi phức tạp và kết nối.
Tác Động Thị Trường và Phản Ứng Cộng Đồng
Giá trị tổng khóa của Balancer giảm 46% từ khoảng $770 triệu xuống còn $422 triệu khi người dùng hoảng loạn rút tiền. Token quản trị BAL của giao thức giảm hơn 8% trong vòng 24 giờ xuống còn khoảng $0,91, mặc dù một số nguồn báo cáo mức giảm khiêm tốn hơn, chỉ 5%.
Giá Ethereum cũng chịu ảnh hưởng, với ETH giao dịch ở mức $3.629-$3.714 vào ngày 4 tháng 11, giảm 4-8% so với mức trước cuộc tấn công. Sự bán tháo phản ánh những bất ổn thị trường rộng lớn hơn về các lỗ hổng bảo mật DeFi và khả năng của các vụ tấn công tiếp theo trên các giao thức kết nối.
Balancer đã thừa nhận sự cố trong một tuyên bố đăng trên X, xác nhận rằng đã nhận thức được "một vụ tấn công tiềm ẩn ảnh hưởng đến các hồ bơi v2 của Balancer." Đội ngũ nhấn mạnh rằng các nhóm kỹ sư và an ninh của họ đang điều tra với mức ưu tiên cao và sẽ chia sẻ các cập nhật đã được xác minh khi thông tin trở nên khả dụng.
Trong một nỗ lực để phục hồi các quỹ bị đánh cắp, Balancer đã đưa ra một phần thưởng white-hat 20% — khoảng $25,6 triệu — cho việc trả lại tài sản trong vòng 48 giờ. Đội ngũ cảnh báo trong một thông điệp trên chuỗi rằng "các đối tác của chúng tôi có mức độ tự tin cao rằng bạn sẽ được nhận diện từ metadata nhật ký truy cập thu thập bởi cơ sở hạ tầng của chúng tôi," đề cập đến các địa chỉ IP và timestamps được cho là liên quan đến giao dịch của hacker.
Lịch Sử Lặp Lại: Bản Ghi An Ninh Đầy Khó Khăn của Balancer
Đây đánh dấu cuộc tấn công an ninh lớn nhất của Balancer cho đến nay, nhưng không phải lần đầu tiên. Giao thức đã trải qua ít nhất sáu sự cố an ninh lớn kể từ khi ra mắt vào năm 2020, trung bình khoảng một vụ vi phạm lớn mỗi năm.
Vào tháng 6 năm 2020, Balancer mất $500.000 trong một cuộc tấn công cho vay nhanh khai thác cách giao thức xử lý các token giảm phát như Statera (STA). Vào tháng 8 năm 2023, hacker đã rút khoảng $2,1 triệu từ các hồ bơi được tăng cường V2 thông qua một lỗ hổng chính xác, chỉ một tuần sau khi Balancer đã công bố một "lỗ hổng quan trọng" trong chính những hồ bơi đó.
Tháng tiếp theo, vào tháng 9 năm 2023, một cuộc tấn công chiếm đoạt DNS đã chuyển hướng người dùng từ frontend hợp pháp của Balancer đến một trang phishing, dẫn đến khoản thiệt hại $238.000. Tháng 3 năm 2023, Balancer bị ảnh hưởng gián tiếp bởi vụ hack Euler Finance, với hồ bơi bbeUSD của giao thức mất $11,9 triệu.
Hệ Quả Rộng Hơn Đối Với An Ninh DeFi
Vụ việc Balancer đến vào lúc quan trọng cho tài chính phi tập trung. Chainalysis báo cáo rằng hơn $2 tỷ trong tiền mã hóa đã bị đánh cắp bởi các hacker chỉ trong nửa đầu năm 2025, với các nhóm do nhà nước Bắc Triều Tiên tài trợ chịu trách nhiệm cho khoảng $1,65 tỷ trong tổng số đó.
Cuộc tấn công đã thúc đẩy thảo luận mới về những thách thức an ninh cơ bản đối diện các giao thức DeFi. Không giống như sàn giao dịch tập trung có thể đảo ngược giao dịch gian lận hoặc đóng băng tài khoản, các nền tảng phi tập trung hoạt động trên các hợp đồng thông minh không thể thay đổi. Hợp đồng mà, một khi đã triển khai, không thể dễ dàng sửa đổi để vá các lỗ hổng bảo mật.
Several blockchain networks took unprecedented action để đối phó với vụ tấn công. Các validator của Berachain đã dừng mạng lưới của họ để thực hiện các cập nhật khẩn cấp. Các validator của Polygon đã chặn các giao dịch của hacker. Sonic giới thiệu chức năng để đóng băng và xoá tài khoản của hacker. Những can thiệp này đã gây ra các cuộc tranh luận trong cộng đồng tiền mã hóa về căng thẳng giữa nguyên tắc phi tập trung và nhu cầu bảo mật thực tiễn.
Nhà bình luận tiền mã hóa nổi tiếng Haseeb đã quan sát trên X rằng "các hệ sinh thái nhỏ hơn nên ưu tiên bảo vệ an toàn và cộng đồng hơn là 'mã là luật'" — một tham chiếu đến nguyên tắc truyền thống của ngành công nghiệp tiền mã hóa rằng kết quả của hợp đồng thông minh nên là cuối cùng và không thể thay đổi, ngay cả khi chúng là kết quả của các vụ tấn công.
Suy nghĩ cuối cùng
Đối với Balancer, sự vi phạm này là một điểm phân nhánh quan trọng. Giao thức đã vượt qua những bão tố trước đó và duy trì vị thế của mình như một trong những người chơi đã được thành lập của DeFi, với khoảng $355 triệu vẫn đang bị khóa tính đến ngày 4 tháng 11 mặc dù sự suy giảm đột ngột. Nền tảng này tiếp tục xử lý lượng giao dịch lớn, xử lý khoảng 2,81 tỷ đô la hàng tháng và tạo ra khoảng 10,7 triệu đô la doanh thu hàng năm.
Tuy nhiên, việc khôi phục lòng tin của người dùng sau một vụ tấn công $128 triệu sẽ đòi hỏi nhiều hơn các biện pháp kỹ thuật. Cộng đồng tiền mã hóa ngày càng đòi hỏi sự minh bạch, truyền thông nhanh chóng trong thời gian khủng hoảng và bằng chứng cụ thể rằng các lỗ hổng bảo mật đã được giải quyết toàn diện.
Ngành công nghiệp quan sát dự đoán sự cố của Balancer sẽ thúc đẩy việc giám sát của các cơ quan quản lý đối với giao thức DeFi, đặc biệt tại Hoa Kỳ nơi các cơ quan chức năng đang phát triển các khung pháp lý mới cho việc giám sát tài chính phi tập trung. Thực tế rằng việc kiểm toán rộng rãi không đủ để ngăn chặn vụ vi phạm này có thể khiến các nhà quản lý yêu cầu thêm các biện pháp bảo vệ, cơ chế bảo hiểm, hoặc cấu trúc trách nhiệm cho các nền tảng DeFi.
Hiện tại, người dùng của Balancer đang đối mặt với những quyết định khó khăn về việc liệu có nên duy trì vị thế của họ hay rút lui đến các lựa chọn thay thế an toàn hơn. Các nhà nghiên cứu bảo mật tiếp tục điều tra toàn bộ phạm vi của lỗ hổng, trong khi các nhóm pháp y blockchain làm việc với lực lượng thực thi pháp luật để theo dõi số tiền bị đánh cắp. Liệu hacker có chấp nhận đề xuất tiền thưởng "mũ trắng" của Balancer hay thành công rửa tiền thông qua các mixer và cầu nối chuỗi chéo vẫn còn là một điều chưa thể biết được.
Điều chắc chắn là vụ tấn công này đã thêm một chương cảnh báo khác vào lịch sử đầy biến động của DeFi, nhắc nhở cả nhà phát triển và người dùng rằng trong các hệ thống tài chính tiên tiến của tiền mã hóa, bảo mật phải phát triển nhanh chóng như chính công nghệ.