1.28 triệu USD bị đánh cắp, 27 giao thức fork "dính đạn", sự kiện Balancer mang đến ba bài học cho Tài chính phi tập trung

Bài viết bởi: Frank, PANews

Vào ngày 3 tháng 11, bầu trời của thế giới DeFi đã bị xé toạc một cách nghiêm trọng. Địa chỉ kho bạc của giao thức DeFi lâu đời Balancer đã xuất hiện chuyển khoản lớn bất thường. Trong vài giờ tiếp theo, toàn ngành đã chứng kiến một thảm họa diễn ra theo thời gian thực, số tiền bị thiệt hại từ 70 triệu USD ban đầu đã tăng lên 116,6 triệu USD, cuối cùng ổn định ở con số kinh ngạc 128,64 triệu USD.

Đằng sau số tiền thiệt hại khổng lồ là giao thức Balancer V2 với tới 27 “giao thức phân nhánh”, chúng cũng phải đối mặt với rủi ro hệ thống do lỗ hổng chí mạng này mang lại.

Balancer V2 bị tấn công bởi hacker, 128 triệu USD tài sản bị đánh cắp

Vào ngày 3 tháng 11, công ty an ninh chuỗi khối Pie Shield đã phát hiện giao dịch bất thường xảy ra tại kho Balancer V2. Một lượng lớn Ethereum đã được đóng gói (WETH) và các sản phẩm phái sinh staking thanh khoản (wstETH, osETH) đã được chuyển đến một ví mới.

Sau đó, đội ngũ Balancer nhanh chóng xác nhận rằng đã xảy ra một sự kiện tấn công trên chuỗi, với việc giám sát trên chuỗi liên tục phát hiện, cuối cùng số tiền bị thiệt hại đã lên tới 128 triệu USD. Đội ngũ Balancer cho biết, phạm vi tấn công được giới hạn nghiêm ngặt trong các bể ổn định có thể kết hợp V2 (Composable Stable Pools). Kiến trúc V3 mới hơn và các loại bể V2 khác (như bể trọng số) đều không bị ảnh hưởng.

Tính đến ngày 4 tháng 11, đội ngũ Balancer vẫn chưa công bố nguyên nhân cụ thể của cuộc tấn công. Tuy nhiên, theo phân tích của các nhà phân tích trên chuỗi Nansen, họ cho rằng nguồn gốc của cuộc tấn công lần này nằm ở một “kiểm tra quyền truy cập bị lỗi” (faulty access-control check).

Kẻ tấn công đã gửi một lệnh được xây dựng ác ý đến kho bạc bằng cách gọi hàm manageUserBalance của giao thức V2. Lệnh này đã lừa dối sổ cái nội bộ của giao thức, khiến nó tin rằng “giao thức vừa nhận được một khoản phí lớn”, và “quyền sở hữu của khoản phí này thuộc về kẻ tấn công”. Sau đó, kẻ tấn công đã gọi yêu cầu rút tiền bình thường, chuyển hàng triệu tài sản vào tài khoản của mình.

Từ góc độ kỹ thuật, việc hoàn thành cuộc tấn công lần này không phụ thuộc vào khả năng kỹ thuật mạnh mẽ đến mức nào, mà là do kẻ tấn công khéo léo khai thác lỗ hổng logic trong giao thức. Có những nhà phân tích cho rằng, trong quá trình tấn công, hacker đã để lại nhật ký điều khiển console, từ thói quen để lại dấu vết, hacker này rất có thể đã sử dụng mô hình AI lớn để viết và kiểm tra mã, từ đó phát hiện ra những thiếu sót mà các kiểm toán viên con người đã bỏ lỡ.

27 giao thức phân nhánh “dính líu”, các chuỗi khởi động biện pháp khẩn cấp

So với các phương thức tấn công tinh vi của hacker, điều thực sự khiến ngành cảm thấy thất vọng là Balancer V2 trước đó đã trải qua tổng cộng 11 lần kiểm toán bởi bốn công ty an ninh khác nhau là OpenZeppelin, Trail of Bits, Certora và ABDK, nhưng vẫn không phát hiện ra lỗ hổng này.

Điều mỉa mai nhất là “Bể ổn định có thể kết hợp” ( Composable Stable Pool ) được sử dụng lần này đã từng được kiểm toán chuyên môn bởi Certora và Trail of Bits vào tháng 9 năm 2022.

Và với tư cách là một giao thức DeFi đã hoạt động nhiều năm và có vẻ đã trải qua thử nghiệm thị trường, giao thức Balancer V2 đã phát triển thành nhiều đến 27 “giao thức Fork”, tất cả các giao thức này đều thừa hưởng lỗ hổng logic của Balancer V2. Đối với các hacker, lỗ hổng này giống như có một chiếc chìa khóa vạn năng, có thể mở bất cứ lúc nào các “giao thức phân nhánh” cũng có mã lỗi tương tự.

Trên thực tế, cuộc tấn công hacker lần này đã lan rộng ra nhiều chuỗi. Trong đó, giao thức chính Balancer V2 trên mạng chính Ethereum ( bị thiệt hại nặng nề nhất, ước tính thiệt hại lên tới 100 triệu USD. Tiếp theo là giao thức BEX của Berachain, thiệt hại có thể đạt tới 12,86 triệu USD. Ngoài ra, còn có các giao thức của Arbitrum, Base, Sonic và tổng cộng bảy chuỗi công cộng khác cũng bị ảnh hưởng trong hành động tấn công này.

Đối mặt với thảm họa không thể tưởng tượng này, ngành công nghiệp phải đối mặt với sự lựa chọn khó khăn: liệu có nên kiên định với chủ nghĩa nguyên thủy phi tập trung “mã là luật” và nhìn thấy tiền của người dùng bị đánh cắp? Hay là thực hiện các biện pháp can thiệp tập trung để bảo vệ người dùng?

Berachain, bị ảnh hưởng nặng nề nhất bởi thiên tai, đã đưa ra quyết định táo bạo và gây tranh cãi nhất: phối hợp các nút xác nhận, tạm ngừng toàn bộ hoạt động của mạng lưới. Thông qua việc quay ngược các giao dịch, Berachain đã cứu vớt hơn 12 triệu đô la tài sản đang gặp rủi ro trên sàn giao dịch BEX.

Tất nhiên, điều này cũng không thể tránh khỏi việc gây ra tranh cãi trong cộng đồng, có người nghi ngờ: “Điều này chẳng phải sẽ hoàn toàn làm tổn hại đến tính cuối cùng và an toàn của 'chuỗi' các bạn sao? Bây giờ có vẻ như đây là một chuỗi riêng thay vì một blockchain công cộng đúng không?” Đối với điều này, đồng sáng lập ẩn danh của Berachain, Smokey the Bera, đã trả lời: “Tôi nghĩ lo ngại của bạn là hợp lý, nhưng tôi tin rằng những tình huống đặc biệt cần những biện pháp đặc biệt - chúng ta cũng đã thấy những cách làm tương tự trong các trường hợp như Sui và Hyperliquid trong quá khứ.”

Hầu hết các thành viên trong cộng đồng vẫn ủng hộ quyết định này, vì tác động tiêu cực từ quỹ bị tổn thất nặng nề có thể lớn hơn rất nhiều so với cái gọi là niềm tin vào “phi tập trung”.

Sonic Chain đã kích hoạt cơ chế “đóng băng tài khoản trên chuỗi”, khóa ví của kẻ tấn công và 3,4 triệu đô la tiền trong đó mà không làm dừng mạng. Các nút xác thực của Polygon bắt đầu chủ động “kiểm tra” các giao dịch từ địa chỉ của kẻ tấn công.

Đã xảy ra nhiều sự cố lỗ hổng, TVL giảm một nửa gây ra khủng hoảng niềm tin

Lịch sử phát triển của Balancer thực ra cũng là một lịch sử đối đầu liên tục với những lỗ hổng logic phức tạp. Trước đó, Balancer đã nhiều lần bị tấn công bởi hacker, từ năm 2020 đến 2025, đã xảy ra ít nhất năm vụ sự cố lỗ hổng. Những phương pháp tấn công này đã từ những cuộc tấn công vay nhanh ban đầu đến những lỗ hổng trong bể tăng cường V2 phức tạp hơn.

Tuy nhiên, trong các trường hợp trước đây, số tiền thiệt hại chủ yếu nằm trong khoảng từ vài trăm nghìn đến 2 triệu đô la. Đối với Balancer, những sự kiện tấn công trong quá khứ giống như là cơ hội để vá lỗi. Còn vụ việc ước tính thiệt hại lên tới hàng trăm triệu này đã trực tiếp đánh sập niềm tin và sự tự tin của thị trường đối với Balancer.

Theo dữ liệu từ Defillama, sau khi vụ tấn công xảy ra, TVL của Balancer đã giảm từ 776 triệu USD xuống còn 345 triệu USD, giảm hơn một nửa. Đặc biệt, TVL của Balancer V2 đã giảm trực tiếp 230 triệu USD, các giao thức fork của Balancer V2 cũng đồng loạt rút tiền khỏi các quỹ, trong đó TVL của Gaming DEX giảm 87% trong một ngày, còn Beets DEX giảm 48%.

Lido cũng cho biết, mặc dù giao thức Lido không bị ảnh hưởng, nhưng vì lý do thận trọng, họ đã rút khỏi vị thế Balancer không bị ảnh hưởng.

Trên thực tế, các giao thức fork như Gaming DEX cũng cho biết không bị ảnh hưởng thực tế, chỉ rút hầu hết số tiền vì lý do an toàn.

Đối với các giao thức DeFi, niềm tin quan trọng hơn vàng, đặc biệt là trong bối cảnh lịch sử thường xuyên bị tấn công. Tính đến ngày 4 tháng 11, theo thông tin chính thức, StakeWise DAO đã phục hồi được hơn 20 triệu USD thiệt hại từ tay hacker thông qua việc gọi hợp đồng của giao thức đa chữ ký. Điều này cũng đã làm giảm số tiền bị thiệt hại xuống còn 98 triệu USD. Đồng thời, việc chuyển giao tài sản của hacker vẫn đang tiếp diễn, hơn một nửa đã được đổi thành ETH.

Cuộc tấn công 128 triệu đô la này đã trở thành bài học đắt giá trong quá trình phát triển của DeFi, đồng thời nêu ra ba câu hỏi sắc bén.

1. Khi 11 lần kiểm toán của “tiêu chuẩn vàng” không phát hiện ra lỗ hổng chết người tiềm ẩn trong suốt hai năm, thì ý nghĩa của “kiểm toán” là gì?

2, khi “bệnh truyền nhiễm mã” trở thành điều bình thường, một lỗ hổng trong giao thức cơ bản có thể ngay lập tức phá hủy 27 giao thức phái sinh, thì khả năng kết hợp của DeFi là sự đổi mới hay lời nguyền?

3, Khi các chuỗi công khai mới nổi buộc phải chọn giữa “phi tập trung” và “cứu người dùng”, liệu lý tưởng “mã là luật” đã nhường chỗ cho “tập trung thực dụng”?

Trong tương lai, sự an toàn của DeFi có thể không còn chỉ phụ thuộc vào nhiều cuộc kiểm toán hơn, mà còn phụ thuộc vào thiết kế giao thức đơn giản hơn, vững chắc hơn, giảm thiểu mặt tấn công từ gốc. Và đối với những người dùng đã mất niềm tin và vốn trong sự kiện này, giá của sự nhận thức này là vô cùng nặng nề.