5 năm 6 lần gặp sự cố với thiệt hại vượt 100 triệu, lịch sử bị hacker tấn công của giao thức DeFi lâu đời Balancer

Chainfeeds Dẫn nhập:

Đối với người ngoài cuộc, DeFi là một thí nghiệm xã hội mới lạ; đối với người tham gia, việc bị đánh cắp trong DeFi là một bài học đắt giá.

Nguồn bài viết:

TechFlow

Quan điểm:

TechFlow: Ngay sau khi sự việc xảy ra, Balancer đã nhanh chóng phát hành thông báo chính thức, thừa nhận đã phát hiện ra một lỗ hổng có thể ảnh hưởng đến pool V2 và cho biết đội ngũ kỹ thuật cùng đội ngũ an ninh đang ưu tiên điều tra sự cố này, sẽ công bố kết quả xác minh và các biện pháp tiếp theo khi có thêm thông tin. Đồng thời, đội ngũ tuyên bố sẵn sàng cung cấp phần thưởng white-hat trị giá 20% tài sản bị đánh cắp để thu hồi lại số tiền, thời hạn là 48 giờ. Động thái này phản ứng nhanh nhưng vẫn mang tính hình thức, chưa thể xoa dịu được sự lo lắng của cộng đồng. Đối với những người chơi DeFi lâu năm, việc Balancer bị hack gần như đã trở thành tin tức định kỳ. Kể từ khi thành lập năm 2020, giao thức từng được ca ngợi là nhà tạo lập thị trường linh hoạt này đã xảy ra tổng cộng sáu sự cố an ninh trong năm năm, gần như mỗi năm đều phải đối mặt với một cuộc tấn công lớn. Tháng 6 năm 2020, Balancer mất khoảng 520,000 USD do lỗ hổng xử lý token giảm phát STA, kẻ tấn công lợi dụng tính năng tự động đốt 1% phí giao dịch của STA, vay 104,000 ETH từ dYdX và thực hiện 24 vòng giao dịch trong pool cho đến khi STA trong pool cạn kiệt, chỉ còn lại 1 wei, sau đó đổi lấy ETH, WBTC, LINK và SNX với mức giá cực kỳ mất cân bằng. Sự kiện này trở thành thất bại lớn đầu tiên của Balancer, đồng thời phơi bày nền tảng yếu kém của giao thức trong thiết kế tương thích token phức tạp. Trong những năm tiếp theo, Balancer liên tục gặp phải các sự cố an ninh. Tháng 3 năm 2023, do Euler Finance bị tấn công, Balancer cũng bị ảnh hưởng, mất khoảng 11.9 triệu USD. Khi đó, Euler bị tấn công flash loan trị giá 197 triệu USD, pool bb-e-USD của Balancer nắm giữ Euler eToken, số tiền liên quan bị chuyển sang Euler, chiếm 65% TVL của pool này. Dù đội ngũ đã khẩn cấp đóng băng pool, thiệt hại vẫn không thể cứu vãn. Cùng năm đó, tháng 8, pool V2 bị tấn công bởi lỗ hổng "sai số làm tròn", kẻ tấn công lợi dụng sai số trong Boosted Pool để tạo ra bất thường trong tính toán nguồn cung BPT, rút tài sản với tỷ giá không hợp lệ. Dù Balancer đã chủ động cảnh báo và yêu cầu người dùng rút tiền vào ngày 22 tháng 8, nhưng năm ngày sau hacker vẫn thành công tấn công, gây thiệt hại khoảng 2.1 triệu USD. Tháng 9 lại xảy ra sự cố tấn công DNS, hacker dùng kỹ thuật xã hội để xâm nhập nhà đăng ký EuroDNS, chiếm quyền kiểm soát tên miền balancer.fi, dẫn người dùng đến trang web lừa đảo, sử dụng hợp đồng độc hại Angel Drainer để dụ người dùng cấp quyền chuyển tiền. Dù sự cố này không phải do lỗ hổng hợp đồng thông minh, nhưng lại cho thấy sự yếu kém của các giao thức Web3 ở tầng bảo mật Internet truyền thống. Tháng 6 năm 2024, dự án fork của Balancer là Velocore bị hack, mất 6.8 triệu USD, nguyên nhân do lỗ hổng tràn số trong thiết kế pool CPMM, làm nổi bật rủi ro hệ thống của kiến trúc kiểu Balancer. Cuộc tấn công tháng 11 năm 2025 lần này là nghiêm trọng nhất từ trước đến nay. Công ty an ninh Decurity và Defimon Alerts chỉ ra, lỗ hổng bắt nguồn từ lỗi logic kiểm soát truy cập của hàm manageUserBalance trong giao thức V2. Theo quy trình bình thường, hệ thống phải kiểm tra người gọi có phải là chủ tài khoản hay không, nhưng đoạn mã lại kiểm tra xem msg.sender có bằng tham số tuỳ chỉnh op.sender do người dùng nhập vào hay không. Vì op.sender có thể được nhập tuỳ ý, hacker có thể giả mạo danh tính, vượt qua xác thực quyền hạn để thực hiện thao tác WITHDRAW_INTERNAL, rút tài sản từ kho của bất kỳ tài khoản nào. Nói cách khác, bất kỳ ai cũng có thể giả mạo chủ tài khoản để rút tiền. Một lỗi kiểm soát truy cập cơ bản như vậy lại xuất hiện ở một giao thức đã vận hành năm năm, thật đáng kinh ngạc. Nhìn lại lịch sử có thể thấy, sự phức tạp và tốc độ phát triển nhanh của Balancer đã khiến ranh giới an ninh ngày càng mờ nhạt — thiết kế pool tuỳ chỉnh trọng số tối đa tám loại token tuy tăng tính linh hoạt, nhưng cũng làm diện tấn công tăng theo cấp số nhân. Khi các tính năng chồng chất và nợ kỹ thuật tích tụ, cấu trúc mã của Balancer giống như một tháp gạch mong manh. Lỗ hổng mới nhất này không chỉ là một sai lầm hợp đồng, mà còn là dấu hiệu cảnh báo cho con đường phát triển của DeFi: trong cơn sốt câu chuyện và dòng vốn, sự vững chắc của mã nguồn dường như đã bị xem nhẹ.