5 năm 6 lần gặp sự cố, tổn thất vượt trăm triệu, lịch sử bị tin tặc tấn công của giao thức DeFi kỳ cựu Balancer
Tuyển chọn TechFlowTuyển chọn TechFlow
5 năm 6 lần gặp sự cố, tổn thất vượt trăm triệu, lịch sử bị tin tặc tấn công của giao thức DeFi kỳ cựu Balancer
Đối với người ngoài cuộc, DeFi là một thí nghiệm xã hội kỳ lạ; đối với người tham gia, việc DeFi bị đánh cắp là một bài học đắt giá.
Chuyên sâu báo cáo Web3Bài viết: David, TechFlow
Nhà dột gặp mưa dầm, hacker chỉ nhắm vào lúc thị trường giảm.
Trong bối cảnh thị trường tiền mã hóa gần đây liên tục ảm đạm, một giao thức DeFi lâu đời lại phải hứng chịu tổn thất nghiêm trọng.
Ngày 3 tháng 11, dữ liệu chuỗi cho thấy giao thức Balancer có thể đã bị tấn công. Khoảng 70,9 triệu USD tài sản đã được chuyển đến ví mới, bao gồm 6.850 osETH, 6.590 WETH và 4.260 wstETH.
Sau đó, theo theo dõi của Lookonchain đối với địa chỉ ví liên quan, tổng thiệt hại do sự cố tấn công đã tăng lên 116,6 triệu USD.
Sau sự việc, nhóm Balancer cho biết:
"Chúng tôi đã phát hiện một cuộc tấn công khai thác lỗ hổng có khả năng ảnh hưởng đến các pool Balancer v2. Đội kỹ thuật và an toàn đang điều tra sự việc này với ưu tiên cao và sẽ chia sẻ các cập nhật đã xác minh cùng biện pháp tiếp theo khi có thêm thông tin."
Bên cạnh đó, chính thức cũng tuyên bố sẵn sàng chi 20% giá trị tài sản bị đánh cắp làm phần thưởng mũ trắng để thu hồi tài sản, trong vòng 48 giờ.
Phản hồi rất kịp thời, nhưng cũng rất mang tính khuôn mẫu.
Tuy nhiên, nếu bạn là người chơi DeFi lâu năm, chắc chắn sẽ không cảm thấy ngạc nhiên với tiêu đề "Balancer bị hack", mà thay vào đó là cảm giác quen thuộc kỳ lạ.
Là một giao thức DeFi ra đời từ năm 2020, Balancer trong suốt 5 năm qua thậm chí đã trải qua tới 6 sự cố an ninh, trung bình mỗi năm đều diễn ra một lần "chương trình biểu diễn" dành riêng cho hacker, và lần này chỉ là vụ bị đánh cắp lớn nhất về giá trị.
Nhìn lại lịch sử, khi thị trường biến động khiến giao dịch trở nên cực kỳ khó khăn, rất có thể ngay cả việc kiếm lợi từ DeFi cũng không an toàn.
Tháng 6 năm 2020: Lỗ hổng token giảm phát, thiệt hại khoảng 520 nghìn USD
Tháng 3 năm 2020, Balancer gia nhập thế giới DeFi với ý tưởng sáng tạo “thị trường tự động linh hoạt”. Tuy nhiên, chỉ ba tháng sau, giao thức đầy tham vọng này đã phải đối mặt với cơn ác mộng đầu tiên.
Kẻ tấn công đã lợi dụng lỗ hổng xử lý sai token giảm phát (Deflationary Token) của giao thức, gây ra thiệt hại khoảng 520 nghìn đô la Mỹ.
Nguyên lý cơ bản là, một loại token tên là STA lúc đó cứ mỗi lần chuyển khoản sẽ tự động đốt 1% làm phí giao dịch.
Kẻ tấn công mượn 104.000 ETH từ flash loan trên dYdX, sau đó thực hiện giao dịch qua lại giữa STA và ETH 24 lần. Vì Balancer không tính toán đúng số dư thực tế sau mỗi giao dịch, lượng STA trong pool cuối cùng bị rút xuống còn 1 wei. Sau đó, kẻ tấn công lợi dụng sự mất cân bằng giá nghiêm trọng để đổi một lượng rất nhỏ STA lấy một khối lượng lớn ETH, WBTC, LINK và SNX.
Tháng 3 năm 2023: Bị liên lụy sự kiện Euler, thiệt hại khoảng 11,9 triệu USD
Lần này Balancer là nạn nhân gián tiếp.
Euler Finance bị tấn công flash loan với số tiền 197 triệu USD, và pool bb-e-USD của Balancer bị ảnh hưởng do nắm giữ eToken từ Euler.
Khi Euler bị tấn công, khoảng 11,9 triệu USD đã được chuyển từ pool bb-e-USD của Balancer sang Euler, chiếm 65% TVL của pool này. Dù Balancer đã nhanh chóng tạm dừng pool liên quan, nhưng tổn thất đã xảy ra và không thể cứu vãn.
Tháng 8 năm 2023: Lỗ hổng độ chính xác ở pool V2, thiệt hại khoảng 2,1 triệu USD
Lần tấn công này thực ra đã có dấu hiệu trước đó. Ngày 22 tháng 8 năm đó, Balancer chủ động tiết lộ lỗ hổng và cảnh báo người dùng rút vốn, nhưng 5 ngày sau, cuộc tấn công vẫn xảy ra.
Lỗ hổng liên quan đến lỗi làm tròn (rounding error) trong Boosted Pool phiên bản V2. Kẻ tấn công thông qua thao tác chính xác khiến việc tính toán cung cấp BPT (Balancer Pool Token) bị sai lệch, từ đó rút tài sản khỏi pool với tỷ giá bất hợp pháp. Cuộc tấn công được thực hiện qua nhiều giao dịch flash loan, các công ty bảo mật khác nhau ước tính thiệt hại từ 979 nghìn đến 2,1 triệu USD.
Tháng 9 năm 2023: Tấn công chiếm quyền DNS, thiệt hại khoảng 240 nghìn USD
Đây là một cuộc tấn công kỹ thuật xã hội, mục tiêu không phải hợp đồng thông minh mà là hạ tầng internet truyền thống.
Hacker đã xâm nhập nhà đăng ký tên miền EuroDNS bằng kỹ thuật xã hội, chiếm quyền tên miền balancer.fi. Người dùng bị chuyển hướng đến trang web giả mạo, nơi sử dụng hợp đồng độc hại Angel Drainer dụ người dùng cấp quyền chuyển khoản.
Kẻ tấn công sau đó rửa tiền ăn cắp qua Tornado Cash.
Dù sự việc này bản thân không phải lỗi của Balancer, nhưng do tiếng tăm lớn nên dễ bị lợi dụng thương hiệu để lừa đảo, khiến người dùng khó phòng tránh.
Tháng 6 năm 2024: Velocore bị hack, thiệt hại khoảng 6,8 triệu USD
Mặc dù Velocore là dự án độc lập, việc bị đánh cắp vốn không liên quan trực tiếp đến Balancer. Nhưng với tư cách là bản fork của Balancer, Velocore sử dụng thiết kế pool CPMM (Constant Product Market Maker) giống nhau, về mặt nào đó có thể coi là kế thừa, giống như bị đánh ở nơi khác nhưng cơ chế lại nằm ở Balancer.
Toàn bộ sự việc bắt đầu khi kẻ tấn công lợi dụng lỗ hổng tràn số trong hợp đồng CPMM kiểu Balancer trên Velocore, bằng cách thao tác hệ số phí (feeMultiplier) vượt quá 100%, dẫn đến lỗi tính toán.
Kẻ tấn công cuối cùng đã sử dụng flash loan kết hợp với thao tác rút tiền được thiết kế kỹ lưỡng để đánh cắp khoảng 6,8 triệu USD.
Tháng 11 năm 2025: Cuộc tấn công mới nhất, thiệt hại trên trăm triệu
Nguyên lý kỹ thuật của cuộc tấn công lần này đã rõ ràng bước đầu. Theo phân tích của các nhà nghiên cứu bảo mật, lỗ hổng nằm trong phần kiểm tra kiểm soát truy cập của hàm manageUserBalance trong giao thức Balancer V2, tương ứng với việc kiểm tra quyền người dùng.
Theo phân tích từ cơ quan giám sát an ninh Defimon Alerts và Decurity, hệ thống khi xác minh quyền rút tiền của Balancer V2 lẽ ra phải kiểm tra xem người gọi có phải là chủ sở hữu thực sự của tài khoản hay không, nhưng mã lại sai lầm kiểm tra xem msg.sender (người gọi thực tế) có bằng với tham số op.sender do người dùng cung cấp hay không.
Vì op.sender là tham số đầu vào do người dùng kiểm soát, kẻ tấn công có thể tự ý giả mạo danh tính, vượt qua xác thực quyền hạn và thực hiện thao tác WITHDRAW_INTERNAL (rút nội bộ).
Nói đơn giản, lỗ hổng này cho phép bất kỳ ai giả danh chủ sở hữu của bất kỳ tài khoản nào, trực tiếp rút số dư nội bộ. Một lỗi kiểm soát truy cập cơ bản như vậy lại giống như sai sót nghiệp dư, xuất hiện trong một giao thức trưởng thành đã vận hành 5 năm, thật sự đáng kinh ngạc.
Suy ngẫm sau khi đọc lịch sử bị hacker ghé thăm
Chúng ta có thể học được gì từ đoạn "lịch sử bị hacker ghé thăm" này?
Cảm nhận của người viết là, các giao thức DeFi trong thế giới mã hóa giống như "có thể ngắm từ xa chứ không thể đùa nghịch", nhìn từ ngoài thì phẳng lặng, nhưng nếu tìm hiểu sâu sẽ thấy vô số khoản nợ kỹ thuật cần thanh toán bên ngoài những câu chuyện hấp dẫn.
Ví dụ như giao thức DeFi lâu đời Balancer, nếu xét kỹ một trong những điểm đổi mới của nó, không thể bỏ qua việc cho phép tùy chỉnh trọng số tối đa tới 8 loại token để tạo thành pool hỗn hợp.
So với thiết kế đơn giản của Uniswap, mức độ phức tạp của Balancer tăng theo cấp số nhân.
Cứ mỗi thêm một loại token, không gian trạng thái của pool lại phình to mạnh mẽ. Khi bạn cố gắng cân bằng giá, trọng số và thanh khoản của 8 loại token khác nhau trong một pool, bề mặt tấn công cũng vì thế mà mở rộng. Các vụ tấn công token giảm phát năm 2020 và lỗi làm tròn năm 2023 về bản chất đều là hậu quả của việc xử lý sai điều kiện biên do độ phức tạp.
Nguy hiểm hơn nữa, Balancer chọn con đường phát triển cập nhật nhanh. Từ V1 đến V2, rồi các loại Boosted Pool, mỗi lần nâng cấp đều chồng thêm chức năng mới lên mã cũ. Sự tích tụ "nợ kỹ thuật" này khiến kho mã trở thành một tòa tháp xếp hình mong manh;
Ví dụ như vụ tấn công gần đây nhất do vấn đề quyền hạn, một lỗi thiết kế cơ bản như vậy không đáng lẽ nên xảy ra ở một giao thức đã vận hành 5 năm, có thể ở mức độ nào đó cũng cho thấy việc duy trì mã nguồn của dự án đã mất kiểm soát.
Hoặc có lẽ, trong thời điểm hiện tại khi câu chuyện, lợi nhuận và cảm xúc quan trọng hơn công nghệ, việc mã nguồn底层 có lỗ hổng hay không đã không còn quan trọng nữa.
Balancer dĩ nhiên sẽ không phải là cái tên cuối cùng, bạn luôn không biết khi nào những con thiên nga đen được xếp chồng lên nhau bởi tính kết hợp đa dạng của DeFi sẽ xuất hiện.
Mạng lưới phụ thuộc phức tạp trong thế giới DeFi khiến việc đánh giá rủi ro gần như bất khả thi.
Dù bạn tin tưởng vào mã nguồn của Balancer, bạn có tin tưởng tất cả các tích hợp và đối tác của nó không?
Với người ngoài cuộc, DeFi là một thí nghiệm xã hội kỳ thú; với người tham gia, DeFi bị hack là một bài học đắt giá; với toàn ngành, sự lành mạnh của DeFi là học phí bắt buộc phải trả để trưởng thành.
Chỉ mong rằng khoản học phí này đừng quá đắt đỏ.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
深潮TechFlow
