Balancer bị đánh cắp hơn 120 triệu đô la, bạn nên làm gì?

Hiện tại, tổng số tiền bị đánh cắp là 128.64 triệu đô la Mỹ, cuộc tấn công vẫn đang tiếp diễn.

Tác giả: 1912212.eth, Foresight News

Vào chiều ngày 3 tháng 11, giao thức DeFi lâu đời Balancer đã bị tấn công nghiêm trọng do lỗ hổng bảo mật. Kẻ tấn công đã thao túng hợp đồng thông minh cốt lõi của giao thức, chỉ trong vài giờ đã rút thành công hơn 110 triệu đô la Mỹ tài sản tiền mã hóa từ nhiều pool thanh khoản của Balancer và chuyển vào ví do kẻ tấn công kiểm soát. Do ảnh hưởng của vụ tấn công, giá BAL giảm xuống gần 0.9 đô la Mỹ, giảm 8.64% trong 24 giờ.

Theo dữ liệu từ debank, số tiền bị đánh cắp bao gồm 99.85 triệu đô la Mỹ trên hệ sinh thái Ethereum, 7.95 triệu đô la Mỹ trên chuỗi Arbitrum, 3.94 triệu đô la Mỹ trên hệ sinh thái Base, 3.4 triệu đô la Mỹ trên Sonic, và 1.56 triệu đô la Mỹ trên chuỗi OP.

Tính đến 5:41 chiều (UTC+8), theo điều tra từ SlowMist, tổng số tiền bị đánh cắp là 128.64 triệu đô la Mỹ, trong đó có thêm 12.86 triệu đô la Mỹ từ Berachain.

Berachain chính thức thông báo đã tạm dừng chức năng mint HONEY và pool/kho BEX. Các node xác thực của họ đã phối hợp tạm dừng hoạt động mạng Berachain để đội ngũ cốt lõi thực hiện hard fork khẩn cấp, giải quyết vấn đề lỗ hổng liên quan đến Balancer V2 trên BEX.

Vụ trộm lớn này đã khiến cá voi 0x0090, vốn “ngủ đông” suốt 3 năm, nhanh chóng hành động và rút tiền từ Balancer.

Sự kiện này không chỉ phơi bày lỗ hổng kiểm soát truy cập trong kiến trúc Balancer V2 mà còn ảnh hưởng đến nhiều mạng blockchain như Ethereum mainnet, Base, Polygon và Sonic, khiến tổng thiệt hại tăng nhanh chóng.

Hiện tại, cuộc tấn công vẫn đang tiếp diễn.

Balancer được thành lập năm 2020 bởi Balancer Labs, là một giao thức tạo lập thị trường tự động (AMM), cho phép người dùng tạo pool thanh khoản tùy chỉnh và hỗ trợ điều chỉnh trọng số nhiều loại tài sản. Khác với các AMM đơn giản như Uniswap, thiết kế của Balancer chú trọng đến sự linh hoạt và hiệu quả vốn, đặc biệt ở phiên bản V2 đã giới thiệu “Boosted Pools” và hệ thống Vault nhằm tối ưu hóa lợi nhuận và giảm trượt giá. Trong đợt bùng nổ DeFi trước đây, TVL của Balancer từng đạt 3.239 tỷ đô la Mỹ.

Hiện tại, TVL của giao thức chỉ còn 678.44 triệu đô la Mỹ.

Phân tích cho thấy, cuộc tấn công lần này bắt nguồn từ lỗi kiểm soát truy cập trong hợp đồng Vault: kẻ tấn công lợi dụng cơ chế flash loan, giả mạo quyền hạn để rút tài sản từ Boosted Pools. Cụ thể, kẻ tấn công thao túng rate provider, vượt qua kiểm tra ủy quyền và chuyển trực tiếp tiền từ Vault đến địa chỉ ngoài 0xAa760D53541d8390074c61DEFeaba314675b8e3f. Hash giao dịch trên chuỗi (0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569) cho thấy nhiều giao dịch chuyển tiền được hoàn thành chỉ trong vài phút, liên quan đến các sản phẩm phái sinh ETH như WETH, osETH, wstETH, frxETH, rsETH và rETH. Phương pháp này tương tự các vụ tấn công DeFi trước đây, như lỗ hổng kiểm soát truy cập của Nomad Bridge năm 2022, nhưng việc Balancer triển khai đa chuỗi đã làm tăng rủi ro và gây ra thiệt hại xuyên chuỗi.

Nguyên nhân sâu xa của vụ tấn công này có thể truy về các vấn đề bảo mật trong lịch sử của Balancer. Giao thức này không phải lần đầu gặp sự cố:

• Tháng 6 năm 2021, Balancer mất 500,000 đô la Mỹ do lỗ hổng hợp đồng thông minh;
• Tháng 8 năm 2023, lại bị tấn công DNS hijack khiến 270,000 đô la Mỹ bị rút khỏi giao thức.

Lần lỗ hổng quy mô nhỏ gần đây nhất xảy ra vào tháng 10 năm 2025, liên quan đến việc thao túng rate provider.

Những sự kiện này đều chỉ ra điểm yếu của giao thức trong kiểm soát truy cập và phụ thuộc vào bên ngoài. Phiên bản V2 đã hoạt động gần 5 năm kể từ khi ra mắt năm 2021, từng trải qua nhiều lần kiểm toán, fuzz testing và xác minh hình thức, nhưng vẫn chưa thể bịt kín hoàn toàn các lỗ hổng.

Hasu, Giám đốc chiến lược của Flashbots và cố vấn chiến lược của Lido, đăng bài cho biết: “Balancer v2 ra mắt năm 2021, từ đó trở thành một trong những hợp đồng thông minh được chú ý và fork nhiều nhất. Điều này thực sự đáng lo ngại. Mỗi lần một hợp đồng đã hoạt động lâu như vậy bị tấn công, quá trình ứng dụng DeFi lại bị chậm lại 6 đến 12 tháng.”

Hiện tại, đội ngũ Balancer đã ra thông báo cho biết các pool V2 có thể tồn tại lỗ hổng, các kỹ sư và đội ngũ bảo mật đang điều tra sự việc.

Foresight News khuyến nghị người dùng nên rút tiền ngay lập tức, thu hồi quyền cấp phép (có thể thực hiện trên Revoke.cash), và tránh bất kỳ liên kết nghi ngờ lừa đảo nào.