5 năm, 11 lần kiểm toán, 6 lần bị đánh cắp: Tại sao Balancer với lịch sử đen tối vẫn có người hâm mộ?

Deng Tong, Jinse Finance

Vào ngày 3 tháng 11 năm 2025, giao thức DeFi Balancer đã bị tấn công bởi hacker, dẫn đến việc hơn 100 triệu đô la tài sản số bị đánh cắp. Đội ngũ Balancer cho biết: Chúng tôi đã nhận thấy có thể tồn tại lỗ hổng trong pool Balancer v2, đội ngũ kỹ thuật và an ninh của chúng tôi đang ưu tiên điều tra vụ việc.

Bài viết này điểm lại quá trình Balancer bị tấn công, liệt kê phản ứng từ nhiều phía, tổng hợp “lịch sử đen” của Balancer, và thảo luận lý do vì sao dù liên tục gặp sự cố an ninh nhưng Balancer vẫn có lượng lớn người hâm mộ.

I. Ôn lại vụ tấn công Balancer

Vào thứ Hai, sàn giao dịch phi tập trung và nhà tạo lập thị trường tự động Balancer đã bị hacker tấn công, hơn 116 triệu đô la tài sản số đã được chuyển vào một ví mới tạo.

Đội ngũ Balancer đã đăng bài trên diễn đàn X vào thứ Hai: “Chúng tôi nhận thấy một lỗ hổng có thể ảnh hưởng đến pool Balancer v2. Đội ngũ kỹ thuật và an ninh của chúng tôi đang ưu tiên điều tra vụ việc.” Khi có thêm thông tin, chúng tôi sẽ chia sẻ tiến triển mới.

Dữ liệu on-chain ban đầu cho thấy Balancer bị tấn công, mất 70,9 triệu đô la tài sản staking Ethereum. Nhật ký Etherscan cho thấy Ethereum đã được chuyển qua ba giao dịch vào một ví mới.

Nền tảng tình báo tiền mã hóa Nansen cho biết trong một bài đăng trên X rằng tài sản bị đánh cắp bao gồm 6.850 StakeWise staked ETH (OSETH), 6.590 Wrapped Ether (WETH) và 4.260 Lido wstETH (wSTETH).

Nhưng số tài sản bị đánh cắp không chỉ dừng lại ở 70,9 triệu đô la, con số này tiếp tục tăng lên. Theo nền tảng dữ liệu blockchain Lookonchain, tính đến 8:52 sáng thứ Hai (UTC+8), vụ tấn công vẫn tiếp diễn đã nâng tổng số tài sản bị đánh cắp lên hơn 116,6 triệu đô la.

Balancer từng gửi thông điệp on-chain: Sẵn sàng trả 20% giá trị tài sản bị đánh cắp như phần thưởng white-hat để thu hồi tài sản, hiệu lực trong 48 giờ. Nếu tài sản không được trả lại trong 48 giờ tới, Balancer sẽ tiếp tục hợp tác với các chuyên gia pháp y blockchain và cơ quan thực thi pháp luật để xác định thủ phạm. Balancer nhấn mạnh: “Các đối tác của chúng tôi rất tin tưởng rằng, thông qua metadata nhật ký truy cập thu thập từ cơ sở hạ tầng của chúng tôi, có thể xác định danh tính của bạn, những metadata này sẽ hiển thị kết nối từ một nhóm địa chỉ IP/ASN xác định cùng với dấu thời gian truy cập liên quan đến hoạt động giao dịch on-chain.”

Sau đó, Balancer đăng tweet: Chúng tôi đã nhận thấy pool Balancer v2 có thể tồn tại lỗ hổng. Đội ngũ kỹ thuật và an ninh của chúng tôi đang ưu tiên điều tra. Khi có thêm thông tin, chúng tôi sẽ nhanh chóng chia sẻ các cập nhật đã xác thực và biện pháp tiếp theo.

Balancer đăng trên nền tảng X: “Hôm nay vào khoảng 7:48 sáng theo giờ UTC, Composable Stable Pools của Balancer V2 đã bị tấn công. Đội ngũ của chúng tôi đang hợp tác với các nhà nghiên cứu an ninh hàng đầu để điều tra nguyên nhân và sẽ chia sẻ thêm kết quả điều tra cùng báo cáo phân tích đầy đủ ngay khi có thể. Do các pool này đã hoạt động on-chain nhiều năm, nhiều pool đã vượt quá thời gian có thể tạm dừng. Hiện tất cả các pool còn có thể tạm dừng đã được tạm dừng và chuyển sang chế độ khôi phục. Các pool Balancer khác không bị ảnh hưởng. Vấn đề lần này chỉ giới hạn ở Composable Stable Pools V2, không ảnh hưởng đến Balancer V3 hoặc các loại pool khác. Cảnh báo an ninh: Hiện trên mạng xuất hiện một số thông tin lừa đảo giả mạo đội ngũ an ninh Balancer, đây không phải do chúng tôi phát ra. Vui lòng không tương tác hoặc nhấp vào bất kỳ liên kết không rõ nguồn gốc nào.”

Theo dõi của nhà phân tích on-chain Yu Jin, rạng sáng nay StakeWise đã thu hồi được 5.041 osETH (19,3 triệu đô la) từ hacker Balancer thông qua gọi hợp đồng. Do đó, tài sản bị hacker đánh cắp từ Balancer đã giảm từ 117 triệu đô la xuống còn 98 triệu đô la. Hacker đã lần lượt chuyển đổi LST sang ETH, hiện đã chuyển đổi hơn một nửa số tài sản bị đánh cắp thành ETH.

II. Phân tích nguyên nhân bị đánh cắp

Balancer đã gặp phải một cuộc tấn công dạng lỗ hổng kế toán. Trading Strategy, Nansen, Phalcon đã giải thích cuộc tấn công này từ các góc độ khác nhau.

Giám đốc điều hành kiêm đồng sáng lập Trading Strategy, Mikko Ohtamaa chỉ ra, phân tích sơ bộ cho thấy nguyên nhân gốc rễ có thể là do kiểm tra hợp đồng thông minh có khiếm khuyết.

Nhà phân tích nghiên cứu của Nansen, Nicolai Sondergaard cho biết, kẻ tấn công có thể “giả mạo một khoản phí lớn gửi vào tài khoản phí của Balancer, sau đó nhấn nút rút tiền, chuyển đổi WETH thành tiền mặt, về cơ bản là biến điểm thưởng giả thành tiền thật.”

Công ty an ninh blockchain Phalcon cho biết kết quả điều tra sơ bộ cho thấy mục tiêu của kẻ tấn công là Balancer Pool Tokens (BPT), token đại diện cho phần sở hữu của người dùng trong pool thanh khoản. Theo công ty này, lỗ hổng bắt nguồn từ cách Balancer tính giá pool trong quá trình hoán đổi hàng loạt. Kẻ tấn công đã thao túng logic này, bóp méo thông tin giá nội bộ, tạo ra sự mất cân bằng giá nhân tạo, từ đó rút token trước khi hệ thống tự điều chỉnh.

Nhà phân tích tiền mã hóa Adi chỉ ra: “Việc xử lý ủy quyền và callback không đúng cách đã cho phép kẻ tấn công vượt qua các biện pháp an ninh. Điều này giúp kẻ tấn công có thể thực hiện các giao dịch hoán đổi hoặc thao túng số dư trái phép giữa các pool liên kết, từ đó rút cạn tài sản chỉ trong vài phút.”

Conor Grogan của Coinbase chỉ ra, phương thức của kẻ tấn công cho thấy họ rất chuyên nghiệp: Địa chỉ của kẻ tấn công ban đầu được cấp vốn 100 ETH từ Tornado Cash, điều này có nghĩa số tiền này rất có thể đến từ các vụ khai thác lỗ hổng trước đó. “Không ai nạp 100 ETH vào Tornado Cash chỉ để vui chơi”, đây là hành động của một hacker dày dạn kinh nghiệm.

III. Các bên phản ứng thế nào trước vụ tấn công Balancer

1. Thị trường tiền mã hóa lao dốc

Bị ảnh hưởng tiêu cực bởi vụ Balancer bị đánh cắp, cộng thêm áp lực bán gần 100 triệu đô la tài sản bị hacker đánh cắp, toàn bộ thị trường tiền mã hóa không mấy lạc quan, SOL giảm gần 10% trong 24 giờ. Tính đến thời điểm viết bài, BTC ở mức 104.577 đô la (UTC+8), giảm 2,6% trong 24 giờ; ETH ở mức 3.506 đô la (UTC+8), giảm 5,6% trong 24 giờ.

BAL là token quản trị gốc của giao thức Balancer còn giảm hai chữ số. Tính đến thời điểm viết bài, BAL ở mức 0,8376 đô la (UTC+8), giảm 12,6% trong 24 giờ.

2. Dự án fork từ Balancer bị ảnh hưởng

Đồng sáng lập Redstone, Marcin, đăng tweet nhắc nhở: Các dự án fork từ Balancer, ví dụ như Beets trên Sonic dường như cũng bị ảnh hưởng, theo dữ liệu của DefILlama, chỉ sau hơn một giờ, TVL của BEX đã giảm nhanh từ 54 triệu đô la xuống còn khoảng 41 triệu đô la (UTC+8), giảm hơn 24%. Ngoài ra, BEX trên Berachain cũng có thể bị ảnh hưởng, TVL của Beets khoảng 10 triệu đô la (UTC+8), giảm hơn 30% chỉ trong nửa giờ.

Sonic chính thức đăng trên X cho biết, do vụ tấn công Balancer liên quan đến dự án Beets trong hệ sinh thái Sonic, đội ngũ đã triển khai một cơ chế an ninh dự kiến sẽ được áp dụng trong bản nâng cấp mạng sắp tới. Ngoài ra, hai ví liên quan đến hacker (0xf19f, 0x0453) đã bị đóng băng, chờ điều tra thêm. Sonic sẽ hợp tác với đội ngũ Beets để xử lý tiếp theo.

Quỹ Berachain cho biết, các node xác thực đã phối hợp tạm dừng hoạt động mạng Berachain để đội ngũ cốt lõi thực hiện hard fork khẩn cấp, giải quyết lỗ hổng liên quan đến Balancer V2 trên BEX. Việc tạm dừng mạng này đã được lên kế hoạch, mạng sẽ sớm hoạt động trở lại.

GoPlus cũng đăng trên mạng xã hội rằng, tất cả các dự án DeFi fork từ Balancer đều bị ảnh hưởng bởi lỗ hổng này, đã có nhiều giao thức bị tấn công. Khuyến nghị kiểm tra danh sách các giao thức fork từ Balancer trên trang Defillama, ngay lập tức ngừng tương tác và rút tài sản để tự bảo vệ.

3. Lido đã rút các vị thế Balancer không bị ảnh hưởng

Lido đăng bài cho biết, một số pool BalancerV2 đã bị tấn công. Giao thức Lido không bị ảnh hưởng, tất cả tài sản người dùng đều an toàn. Để thận trọng, đội ngũ quản lý Veda của Lido GGV đã rút các vị thế Balancer không bị ảnh hưởng. Tất cả tài sản Lido Earn vẫn an toàn.

4. xUSD mất neo, giảm 75,7%

Trong 24 giờ qua (UTC+8), Staked Stream USD (XUSD) đã mất neo khoảng 75,7%, là phản ứng dây chuyền do vụ tấn công Balancer gây ra. Stream Finance cho biết: Một nhà quản lý quỹ bên ngoài tiết lộ quỹ Stream do họ giám sát đã mất khoảng 93 triệu đô la. Stream đã thuê các luật sư Keith Miller và Joseph Cutler của Perkins Coie LLP để dẫn dắt cuộc điều tra toàn diện. Hiện tại, Stream đang rút tất cả tài sản thanh khoản và thông báo tạm dừng mọi hoạt động nạp/rút, các cập nhật tiếp theo sẽ được công bố định kỳ.

5. Cá voi rút tiền

Bị ảnh hưởng bởi vụ tấn công hacker, cá voi 0x0090 sau 3 năm im lặng đã vừa thức tỉnh sau vụ Balancer bị tấn công — khẩn cấp rút toàn bộ 6,5 triệu đô la khỏi Balancer (UTC+8).

6. Phản ứng của cộng đồng mạng

Nhà sáng tạo nội dung PythiaCrypto chỉ ra: Xét về pháp lý và an ninh, còn có thể làm gì? Cách duy nhất là tìm ra tài sản bị đánh cắp, đóng băng rồi trả lại cho nạn nhân. Nếu không làm được điều này, thì thực sự không có cách nào khiến kẻ trộm chịu trách nhiệm, cũng không thể bồi thường cho nạn nhân.

Còn có người dùng bức xúc:

“Đây là một trong những lỗ hổng có giá trị khai thác tiềm năng lớn nhất trong lịch sử.”

“Mất 116 triệu rồi mà còn nói có ‘tiềm năng’, thật điên rồ.”

“XMR sẽ nhận được khoản đầu tư 110 triệu đô la.”

“Từ giao thức Cetus đến Nemo Finance, rồi giờ là Balancer Finance? Tất cả đều xảy ra trong cùng một năm! Chúng ta có nên lo lắng khi sử dụng tài chính phi tập trung không? Đây là ‘tương lai của tài chính’ mà, đúng không?”

IV. 11 lần kiểm toán vẫn bị hack — Tổng hợp “lịch sử đen” của Balancer

Balancer đã trải qua bao nhiêu lần kiểm toán? 11 lần.

Trưởng bộ phận quan hệ phát triển TAC Blockchain, Suhail Kakar cho biết: “Balancer đã trải qua hơn 10 lần kiểm toán, kho quỹ được các công ty khác nhau kiểm toán ba lần, nhưng vẫn bị hacker tấn công, thiệt hại lên tới 110 triệu đô la. Ngành này cần hiểu rằng, ‘đã được kiểm toán bởi X’ gần như vô nghĩa. Code đã khó, DeFi còn khó hơn.”

Theo danh sách kiểm toán Balancer V2 trên GitHub, bốn công ty an ninh khác nhau — OpenZeppelin, Trail of Bits, Certora và ABDK — đã kiểm toán hợp đồng thông minh của nền tảng này 11 lần, lần gần nhất là Trail of Bits kiểm toán pool ổn định vào tháng 9 năm 2022.

Nhà phân tích tiền mã hóa Antyzo chỉ ra: Tiết kiệm chi phí kiểm toán an ninh luôn phản tác dụng. Hy vọng tài sản người dùng an toàn. Đối với bất kỳ giao thức DeFi nào, kiểm toán là điều kiện tiên quyết cơ bản, không phải chi phí tùy chọn.

Đồng sáng lập UntradenOrg, ReiSoleil chỉ ra: Sự im lặng của kiểm toán viên thật chói tai.

Đồng sáng lập PegaX, Neighman cho biết: Balancer đã trải qua nhiều lần kiểm toán, lập quỹ thưởng lỗ hổng 1 triệu đô la, nhưng vẫn đối mặt với thảm họa này. Trong lĩnh vực này, an ninh không bao giờ được đánh giá thấp, đó là yêu cầu cơ bản nhất. Các nền tảng giao dịch on-chain cũng vậy.

Lâu nay, Balancer luôn được coi là lựa chọn bảo thủ cho các nhà cung cấp thanh khoản, nơi lưu trữ tài sản và nhận lợi nhuận ổn định. Lịch sử lâu dài, chế độ kiểm toán nghiêm ngặt và tích hợp với các nền tảng DeFi lớn đã tạo ra ảo tưởng rằng hoạt động lâu dài đồng nghĩa với an toàn. Tuy nhiên, các sự cố an ninh hôm qua và hôm nay đã phá vỡ nhận định này.

Trước đây, Balancer đã nhiều lần bị hacker tấn công.

1. Tháng 6 năm 2020, Balancer bị tấn công lỗ hổng token giảm phát, mất 520.000 đô la. Kẻ tấn công lợi dụng lỗ hổng xử lý token giảm phát không đúng của Balancer, vay flash loan 104.000 ETH từ dYdX, sau đó giao dịch lặp lại 24 lần giữa STA và ETH. Do Balancer không tính đúng số dư thực sau mỗi lần chuyển, lượng STA trong pool bị rút cạn chỉ còn 1 wei, kẻ tấn công lợi dụng sự mất cân bằng giá nghiêm trọng, dùng lượng nhỏ STA đổi lấy lượng lớn ETH, WBTC, LINK và SNX.

2. Tháng 3 năm 2023, Balancer bị ảnh hưởng bởi sự kiện Euler, mất 11,9 triệu đô la. Euler Finance bị tấn công flash loan 197 triệu đô la, pool bb-e-USD của Balancer bị ảnh hưởng do nắm giữ eToken của Euler, khoảng 11,9 triệu đô la bị chuyển từ pool bb-e-USD của Balancer sang Euler, chiếm 65% TVL của pool này.

3. Tháng 8 năm 2023, pool Balancer V2 bị tấn công lỗ hổng độ chính xác, mất 2,1 triệu đô la. Kẻ tấn công thao túng chính xác, khiến việc tính toán nguồn cung BPT (Balancer Pool Token) bị sai lệch, từ đó rút tài sản trong pool với tỷ giá không hợp lý. Vụ tấn công được thực hiện qua nhiều giao dịch flash loan.

4. Tháng 9 năm 2023, Balancer bị tấn công DNS, mất 240.000 đô la. Hacker dùng kỹ thuật xã hội tấn công nhà đăng ký tên miền EuroDNS, chiếm quyền kiểm soát tên miền balancer.fi, người dùng bị chuyển hướng sang trang phishing, trang này dùng hợp đồng độc hại Angel Drainer dụ người dùng cấp quyền chuyển tiền, sau đó hacker rửa tiền qua Tornado Cash.

5. Tháng 6 năm 2024, Balancer bị ảnh hưởng bởi vụ hack Velocore, mất 6,8 triệu đô la. Kẻ tấn công lợi dụng lỗ hổng tràn số trong hợp đồng pool CPMM kiểu Balancer của Velocore, thao túng hệ số phí vượt quá 100%, gây tính toán sai, cuối cùng kết hợp flash loan và thao tác rút tiền tinh vi, đánh cắp khoảng 6,8 triệu đô la.

V. Vì sao liên tục bị hack nhưng vẫn có fan trung thành?

Dù Balancer liên tục gặp sự cố an ninh kể từ khi ra mắt năm 2020, nhưng vẫn có rất nhiều người dùng trung thành.

Lý do cốt lõi là Balancer không chỉ là sàn giao dịch phi tập trung mà còn là AMM (nhà tạo lập thị trường tự động), hỗ trợ pool đa tài sản, trọng số lập trình, phí động, pool Boosted tổng hợp, v.v. Nhiều dự án và chiến lược DeFi (ví dụ Yearn, Aura, BeethovenX, v.v.) trực tiếp dựa vào giao thức Balancer làm lớp thanh khoản nền tảng. Do đó, dù có sự cố an ninh, quán tính của hệ sinh thái các giao thức tầng trên vẫn duy trì lượng người dùng.

Tiếp theo, vì Balancer là giao thức AMM, cho phép người dùng tạo và quản lý pool thanh khoản tùy chỉnh, hỗ trợ nhiều loại tài sản và thiết lập trọng số khác nhau. Điều này thu hút nhiều nhà cung cấp thanh khoản và trader chuyên nghiệp, họ có thể tối ưu hóa cấu hình thanh khoản theo chiến lược của mình để thu lợi cao hơn. Ngoài ra, thuật toán của Balancer giúp tận dụng thanh khoản hiệu quả hơn, so với AMM truyền thống, có thể cung cấp giá giao dịch tốt hơn và trượt giá thấp hơn với cùng lượng thanh khoản. Điều này rất quan trọng với các giao dịch lớn và tần suất cao, giúp giảm chi phí giao dịch.

VI. Còn có thể tin tưởng DeFi không?

Giám đốc chiến lược Flashbots, cố vấn chiến lược Lido, Hasu cho biết, Balancer v2 ra mắt năm 2021, từ đó trở thành một trong những hợp đồng thông minh được chú ý và fork nhiều nhất. Điều này thực sự đáng lo ngại. Mỗi lần một hợp đồng hoạt động lâu năm bị tấn công, quá trình chấp nhận DeFi lại bị lùi lại 6 đến 12 tháng.

Nhà sáng lập kiêm CEO Circuit, Harry Donnelly cho biết: Sự cố rò rỉ dữ liệu của Balancer là “cảnh báo nghiêm trọng” cho hệ sinh thái DeFi, đồng thời nhấn mạnh Balancer là “một trong những thương hiệu đáng tin cậy nhất trong ngành”, cũng là “người tiên phong có văn hóa tuân thủ, được kiểm toán nghiêm ngặt và công khai minh bạch”. Chính sự minh bạch này giúp Balancer thành công, nhưng cũng khiến nó dễ bị tấn công hơn. “Nếu DeFi muốn thực sự thách thức tài chính truyền thống, phải chủ động tăng cường khả năng phục hồi và phản ứng, chứ không chỉ bị động vá lỗi và đóng băng tài sản.”

Nhà sáng lập kiêm CEO OneSource, Vladislav Ginzburg cho biết: “Hợp đồng thông minh và kỹ thuật tài chính là một phần rủi ro đầu tư DeFi. Do đó, kiểm toán hợp đồng thông minh là rất quan trọng. Tôi cho rằng lỗ hổng của Balancer không đại diện cho một mô hình mới, nên không cần thay đổi niềm tin hay yếu tố rủi ro. Hiện trạng vẫn giữ nguyên.”

CTO nền tảng Komodo, Kadan Stadelmann cũng có quan điểm tương tự, ông cho rằng người dùng DeFi cốt lõi sẽ không vì thế mà chùn bước, nhưng nhà đầu tư tổ chức có thể bị ảnh hưởng. “Chính những vụ hack như thế này trong lĩnh vực DeFi đã khiến nhà đầu tư tổ chức và nhà đầu tư tài sản thay thế chuyển sang chiến lược chỉ đầu tư bitcoin.”