128 triệu đô la Mỹ đã bị đánh cắp, 27 giao thức fork “không được bảo vệ” và sự cố Balancer đã dạy ba bài học lớn cho DeFi

Tác giả: Frank, PANews

Vào ngày 3 tháng 11, một lỗ hổng đã xuất hiện trên bầu trời thế giới DeFi. Địa chỉ kho bạc của giao thức DeFi cũ Balancer đã trải qua đợt chuyển tiền lớn bất thường. Trong những giờ sau đó, ngành công nghiệp chứng kiến ​​một thảm họa xảy ra trong thời gian thực, với số tiền thiệt hại tăng từ mức báo cáo ban đầu là 70 triệu USD lên 116,6 triệu USD, trước khi cuối cùng giải quyết ở mức đáng kinh ngạc là 128,64 triệu USD.

Đằng sau thiệt hại to lớn là giao thức Balancer V2 có tới 27 "giao thức phân nhánh" và chúng cũng đang phải đối mặt với những rủi ro hệ thống do lỗ hổng nghiêm trọng đã tiềm ẩn từ lâu này mang lại.

Balancer V2 đã bị hack và 128 triệu USD đã bị đánh cắp

Vào ngày 3 tháng 11, công ty bảo mật on-chain Paidun nhận thấy một hoạt động chuyển tiền bất thường sang kho tiền Balancer V2. Một lượng lớn Ethereum được bao bọc (WETH) và các dẫn xuất tài sản thế chấp thanh khoản (wstETH, osETH) đã được chuyển sang ví mới.

Nhóm Balancer nhanh chóng xác nhận rằng một cuộc tấn công trên chuỗi thực sự đã xảy ra. Với việc liên tục phát hiện giám sát trên chuỗi, số tiền thiệt hại ước tính cuối cùng lên tới 128 triệu USD. Nhóm Balancer tuyên bố rằng phạm vi của cuộc tấn công được giới hạn nghiêm ngặt đối với Nhóm ổn định có thể kết hợp V2. Kiến trúc V3 mới hơn của nó và các loại nhóm V2 khác (chẳng hạn như nhóm tạ) không bị ảnh hưởng.

Tính đến ngày 4 tháng 11, nhóm Balancer vẫn chưa công bố nguyên nhân cụ thể của vụ tấn công. Tuy nhiên, theo phân tích của nhiều công ty bảo mật và nhà phân tích on-chain, nguyên nhân sâu xa của cuộc tấn công này nằm ở "kiểm tra kiểm soát truy cập bị lỗi".

Kẻ tấn công đã gửi một lệnh được xây dựng độc hại tới vault bằng cách gọi hàm quản lýUserBalance của giao thức V2. Lệnh này đánh lừa sổ cái nội bộ của giao thức tin rằng "giao thức vừa tính một khoản phí lớn" và "phí đó thuộc về kẻ tấn công". Kẻ tấn công sau đó thực hiện các yêu cầu rút tiền thông thường và chuyển số lượng lớn tài sản vào tài khoản của chính mình.

Từ quan điểm kỹ thuật, việc hoàn thành cuộc tấn công này không phụ thuộc vào khả năng kỹ thuật mạnh đến mức nào mà phụ thuộc vào việc kẻ tấn công sử dụng khéo léo các lỗ hổng logic trong giao thức. Một số nhà phân tích tin rằng hacker đã để lại nhật ký bảng điều khiển trong cuộc tấn công. Đánh giá từ thói quen theo dõi, hacker có thể sẽ sử dụng một mô hình lớn AI để viết và xem xét mã, từ đó phát hiện ra những sai sót mà con người kiểm tra đã bỏ qua.

27 giao thức phân nhánh đang "nằm xuống" và mỗi chuỗi đã bắt đầu các biện pháp khẩn cấp

So với các phương thức tấn công thông minh của tin tặc, điều thực sự khiến ngành thất vọng là Balancer V2 đã được kiểm tra tổng cộng 11 lần bởi bốn công ty bảo mật khác nhau: OpenZeppelin, Trail of Bits, Certora và ABDK, nhưng vẫn không phát hiện ra lỗ hổng này.

Điều trớ trêu nhất là thành phần cụ thể "Nhóm ổn định có thể kết hợp" được khai thác lần này đã phải chịu sự kiểm tra đặc biệt của Certora và Trail of Bits vào tháng 9 năm 2022.

Là một giao thức DeFi đã trực tuyến trong nhiều năm và dường như đã được thị trường thử nghiệm, giao thức Balancer V2 đã phát triển tới 27 "giao thức Fork" làm mẫu và tất cả các giao thức này đã kế thừa lỗ hổng logic của Balancer V2. Đối với tin tặc, lỗ hổng này giống như việc có một chìa khóa chính có thể mở kho tiền của những "giao thức rẽ nhánh" vốn cũng có mã bị lỗi này bất cứ lúc nào.

Trên thực tế, cuộc tấn công của hacker này đã lan rộng ra nhiều chuỗi. Trong số đó, Balancer V2 (giao thức chính) của mạng chính Ethereum bị thiệt hại nặng nề nhất, với thiệt hại ước tính lên tới 100 triệu USD. Tiếp theo là giao thức BEX của Berachain, khoản lỗ có thể lên tới 12,86 triệu USD. Ngoài ra, tổng cộng bảy giao thức chuỗi công khai bao gồm Arbitrum, Base và Sonic đã bị ảnh hưởng bởi cuộc tấn công này.

Đối mặt với thảm họa vô lý này, ngành đang phải đối mặt với một tình thế tiến thoái lưỡng nan: Có nên tuân theo chủ nghĩa chính thống phi tập trung của "mã là luật" và đứng nhìn tiền của người dùng bị đánh cắp không? Hay áp dụng các biện pháp can thiệp tập trung để bảo vệ người dùng?

Berachain, bị ảnh hưởng nặng nề nhất, đã đưa ra quyết định cấp tiến và gây tranh cãi nhất: điều phối các nút xác minh và đình chỉ hoạt động của toàn bộ mạng. Bằng cách hủy bỏ các giao dịch, Berachain đã tiết kiệm được hơn 12 triệu USD tài sản gặp rủi ro trên sàn giao dịch BEX.

Tất nhiên, điều này chắc chắn đã gây ra tranh cãi trong cộng đồng. Một số người đặt câu hỏi: "Liệu điều này có làm hỏng hoàn toàn tính hữu hạn và tính bảo mật của 'chuỗi' của bạn không? Bây giờ nó giống một chuỗi riêng tư hơn là một chuỗi khối công khai?" Đáp lại, Smokey the Bera, người đồng sáng lập ẩn danh của Berachain, trả lời: "Tôi nghĩ mối lo ngại của bạn là hợp lý, nhưng tôi tin rằng những trường hợp đặc biệt cần có những biện pháp đặc biệt - chúng tôi đã thấy những biện pháp tương tự trong quá khứ trong các trường hợp như Sui và Hyperliquid."

Hầu hết các thành viên cộng đồng vẫn ủng hộ quyết định này. Rốt cuộc, tác động có hại của nguồn vốn bị thất thoát nặng nề có thể lớn hơn nhiều so với cái gọi là niềm tin “phi tập trung”.

Sonic chain đã kích hoạt "cơ chế đóng băng tài khoản trên chuỗi", khóa ví của kẻ tấn công và 3,4 triệu đô la mà không dừng mạng. Các nút xác thực của Polygon bắt đầu tích cực “xem xét” các giao dịch từ địa chỉ của kẻ tấn công.

Đã có nhiều sự cố sơ hở và việc TVL giảm một nửa đã gây ra khủng hoảng niềm tin

Lịch sử phát triển của Balancer thực sự là một lịch sử của trò chơi không ngừng chống lại những sơ hở logic phức tạp. Balancer đã bị hacker tấn công nhiều lần trước đây. Từ năm 2020 đến năm 2025, đã xảy ra ít nhất 5 sự cố dễ bị tổn thương. Các phương thức tấn công này bao gồm từ các cuộc tấn công flash loan sớm nhất đến các lỗ hổng nhóm nâng cao V2 phức tạp hơn.

Tuy nhiên, trong những trường hợp trước đây, số tiền thiệt hại về cơ bản dao động từ vài trăm nghìn đô la Mỹ đến 2 triệu đô la Mỹ. Đối với Balancer, những cuộc tấn công trong quá khứ này giống như cơ hội để vá các lỗ hổng. Thảm kịch này với thiệt hại ước tính lên tới hơn 100 triệu đồng đã trực tiếp hủy hoại niềm tin và niềm tin của thị trường đối với Balancer.

Theo dữ liệu từ Defillama, sau cuộc tấn công, TVL của Balancer đã giảm trực tiếp từ 776 triệu USD xuống còn 345 triệu USD, giảm hơn một nửa. Đặc biệt, TVL của Balancer V2 trực tiếp giảm 230 triệu USD và các giao thức fork của Balancer V2 cũng rút khỏi nhóm quỹ. Trong số đó, TVL của Gaming DEX giảm 87% trong một ngày và Beets DEX giảm 48%.

Lido cũng tuyên bố rằng mặc dù giao thức Lido không bị ảnh hưởng nhưng nó đã rút vị trí Balancer không bị ảnh hưởng vì lý do thận trọng.

Trên thực tế, các giao thức phân nhánh như Gaming DEX sau đó cũng tuyên bố rằng họ thực sự không bị ảnh hưởng và chỉ rút phần lớn số tiền vì lý do an toàn.

Đối với các giao thức DeFi, niềm tin quan trọng hơn vàng, đặc biệt là trong bối cảnh lịch sử của các cuộc tấn công lặp đi lặp lại. Tính đến ngày 4 tháng 11, theo tiết lộ chính thức, StakeWise DAO đã thu hồi được hơn 20 triệu USD thiệt hại từ tin tặc thông qua các lệnh gọi hợp đồng trong thỏa thuận nhiều chữ ký. Điều này cũng đưa số tiền thiệt hại lần này xuống còn 98 triệu USD. Đồng thời, việc chuyển giao tài sản của hacker vẫn đang được tiến hành và hơn một nửa đã được đổi lấy ETH.

Cuộc tấn công trị giá 128 triệu đô la này đã trở thành một khóa học tốn kém và bắt buộc trong sự phát triển của DeFi, đồng thời nó cũng đặt ra ba câu hỏi hóc búa

1. Khi 11 cuộc kiểm toán theo "tiêu chuẩn vàng" không thể tìm ra lỗ hổng chết người đã không hoạt động trong hai năm, ý nghĩa của "kiểm toán" là gì?

2. Khi “lây lan mã” trở thành tiêu chuẩn và một lỗ hổng trong giao thức cơ bản có thể phá hủy ngay lập tức 27 giao thức phái sinh, khả năng kết hợp của DeFi là một sự đổi mới hay một lời nguyền?

3. Khi các chuỗi công khai mới nổi buộc phải lựa chọn giữa “phân quyền” và “tiết kiệm người dùng”, liệu lý tưởng “mã là luật” đã nhường chỗ cho “tập trung thực dụng”?

Trong tương lai, bảo mật DeFi có thể không còn chỉ dựa vào nhiều cuộc kiểm tra hơn nữa mà dựa vào các thiết kế giao thức đơn giản hơn, mạnh mẽ hơn giúp giảm cơ bản bề mặt tấn công. Đối với những người dùng đã mất niềm tin và vốn trong vụ việc này, cái giá phải trả cho việc nhận ra điều này là vô cùng nặng nề.