Làm thế nào mà 11 cuộc kiểm toán vẫn không thể ngăn chặn vụ hack 128 triệu đô la của Balancer, tái định nghĩa rủi ro DeFi

Trong nhiều năm, Balancer được xem là một trong những tổ chức đáng tin cậy nhất của DeFi, một giao thức đã vượt qua nhiều thị trường gấu, kiểm toán và tích hợp mà không gặp phải bê bối nào.

Tuy nhiên, uy tín đó đã sụp đổ vào ngày 3 tháng 11, khi công ty an ninh blockchain PeckShield báo cáo rằng Balancer và một số fork của nó đang bị khai thác trên nhiều chuỗi khác nhau.

Chỉ trong vài giờ, hơn 128 triệu USD đã biến mất, để lại dấu vết của các pool bị rút cạn, các giao thức bị đóng băng và các nhà đầu tư hoang mang.

Dữ liệu từ PeckShield cho thấy giao thức của nền tảng trên Ethereum chịu tổn thất nặng nề nhất với khoảng 100 triệu USD. Berachain theo sau với 12,9 triệu USD, trong khi Arbitrum, Base và các fork nhỏ hơn như Sonic, Optimism và Polygon ghi nhận các vụ trộm thấp hơn nhưng vẫn đáng kể.

Tổng số tiền bị đánh cắp từ vụ hack Balancer (Nguồn: Peckshield)

Khi vụ rút tiền diễn ra, Balancer đã thừa nhận về một “khai thác tiềm năng ảnh hưởng đến các pool Balancer v2”, đồng thời cho biết các nhóm kỹ thuật và an ninh của họ đang ưu tiên điều tra vấn đề này.

Tuy nhiên, sự thừa nhận này hầu như không làm chậm lại các đợt rút tiền trên các nền tảng tích hợp và fork.

Đến cuối ngày, dữ liệu từ DeFiLlama cho thấy tổng giá trị bị khóa (TVL) của Balancer đã giảm 46% xuống còn khoảng 422 triệu USD từ 770 triệu USD tại thời điểm đưa tin.

Vụ hack DeFi Balancer (Nguồn: DeFiLlama)

Chuyện gì đã xảy ra?

Phân tích sơ bộ từ công ty an ninh blockchain Phalcon cho thấy kẻ tấn công đã nhắm vào Balancer Pool Tokens (BPT), đại diện cho phần chia sẻ của người dùng trong các pool thanh khoản.

Theo công ty này, lỗ hổng bắt nguồn từ cách Balancer tính giá pool trong các giao dịch batch swap. Bằng cách thao túng logic đó, kẻ khai thác đã làm sai lệch nguồn cấp giá nội bộ, tạo ra sự mất cân bằng nhân tạo cho phép chúng rút token trước khi hệ thống tự điều chỉnh lại.

Cách kẻ tấn công khai thác mã Balancer (Nguồn: Phalcon)

Nhà phân tích crypto Adi viết:

“Việc ủy quyền không đúng và xử lý callback không hợp lý đã cho phép kẻ tấn công vượt qua các biện pháp bảo vệ. Điều này cho phép các giao dịch swap trái phép hoặc thao túng số dư trên các pool liên kết, rút tài sản liên tiếp chỉ trong vài phút.”

Trong khi đó, kiến trúc vault có thể kết hợp của Balancer, vốn được ca ngợi về tính linh hoạt, lại làm tăng mức độ thiệt hại. Bởi vì các vault có thể tham chiếu lẫn nhau một cách động, sự sai lệch đã lan rộng qua các pool liên kết.

Điều thú vị là Conor Grogan của Coinbase chỉ ra rằng cách tiếp cận của kẻ tấn công cho thấy sự chuyên nghiệp cao.

Grogan lưu ý rằng địa chỉ của kẻ tấn công ban đầu được cấp vốn với 100 ETH từ Tornado Cash, cho thấy số tiền này có thể bắt nguồn từ các vụ khai thác trước đó.

“Mọi người thường không gửi 100 ETH vào Tornado Cash chỉ để vui,” anh viết, cho rằng mô hình giao dịch này phản ánh một hacker dày dạn kinh nghiệm và từng hoạt động trước đó.

Sự sụp đổ niềm tin DeFi

Dù vụ khai thác mang tính kỹ thuật, tác động của nó lại mang tính tâm lý.

Balancer từ lâu đã được coi là nơi an toàn cho các nhà cung cấp thanh khoản, nơi gửi tài sản để nhận lợi suất ổn định, khiêm tốn. Sự tồn tại lâu dài, các cuộc kiểm toán và tích hợp trên các nền tảng DeFi hàng đầu đã tạo ra ảo tưởng rằng sự bền bỉ đồng nghĩa với an toàn. Vụ vi phạm ngày 3 tháng 11 đã phá vỡ câu chuyện đó chỉ sau một đêm.

Lefteris Karapetsas, nhà sáng lập nền tảng crypto Rotki, gọi đây là “sự sụp đổ niềm tin” chứ không chỉ là một vụ hack của nền tảng DeFi.

Anh lên án thực tế rằng:

“Một giao thức hoạt động từ năm 2020, đã được kiểm toán và sử dụng rộng rãi, vẫn có thể chịu tổn thất TVL gần như toàn bộ. Đó là dấu hiệu cảnh báo cho bất kỳ ai tin rằng DeFi là ‘ổn định’.”

Phản ứng đó phản ánh tâm lý chung. Trong một thị trường đề cao quyền tự quản lý tài sản và mã nguồn minh bạch, niềm tin đã âm thầm thay thế sự tin tưởng làm nền tảng ẩn của DeFi.

Sự thất bại của Balancer cho thấy ngay cả những hệ thống có nền tảng toán học vững chắc cũng dễ bị tổn thương trước sự phức tạp không lường trước được.

Robdog, nhà phát triển ẩn danh của Cork Protocol, cho biết:

“Mặc dù nền tảng [DeFi] ngày càng an toàn hơn, thực tế đáng buồn là rủi ro hợp đồng thông minh luôn hiện hữu quanh chúng ta.”

Ý nghĩa đối với DeFi

Vụ khai thác Balancer xảy ra vào thời điểm nhạy cảm đối với tài chính phi tập trung, phá vỡ một giai đoạn yên bình ngắn ngủi. Theo PeckShield, trong tháng 10, tổng thiệt hại từ các vụ hack đã giảm xuống mức thấp nhất trong năm, chỉ còn 18 triệu USD.

Tuy nhiên, chỉ với một sự cố trong tháng 11, con số này đã vượt quá 120 triệu USD, khiến đây trở thành tháng tồi tệ thứ ba về các vụ vi phạm DeFi trong năm 2025.

Thiệt hại hàng tháng từ các vụ hack DeFi năm 2025 (Nguồn: DeFiLlama)

Trong khi đó, vụ tấn công này làm nổi bật một nghịch lý cơ bản ở trung tâm của DeFi: khả năng kết hợp, tính năng cho phép các giao thức kết nối và xây dựng dựa trên nhau, cũng làm tăng rủi ro hệ thống.

Khi một giao thức cốt lõi như Balancer gặp sự cố, tác động sẽ lan truyền ngay lập tức qua các mạng lưới phụ thuộc vào nó.

Trên Berachain, các validator đã tạm dừng sản xuất block để ngăn chặn sự lây lan. Các giao thức khác cũng tạm thời ngừng chức năng cho vay và cầu nối.

Những phản ứng nhanh này đã hạn chế thiệt hại, nhưng cũng nhấn mạnh một thực tế rộng lớn hơn rằng DeFi vận hành mà không có các cơ chế phối hợp như tài chính truyền thống.

Trong lĩnh vực này, không có cơ quan quản lý, ngân hàng trung ương hay các biện pháp bảo vệ bắt buộc. Thay vào đó, việc quản lý khủng hoảng phụ thuộc nhiều vào các nhà phát triển và kiểm toán viên phối hợp cùng nhau, thường chỉ trong vài phút, để kiểm soát hậu quả.

Xét về điều này, Robdog nói:

[Đây là] lời nhắc nhở tốt về lý do tại sao chúng ta cần phát triển hạ tầng quản lý rủi ro tốt hơn.”

Vượt ra ngoài thiệt hại kỹ thuật trước mắt, tổn thất về niềm tin có thể khó khắc phục hơn.

Mỗi vụ khai thác lớn đều làm xói mòn niềm tin vào lời hứa của DeFi về mã nguồn tự điều chỉnh. Đối với các nhà đầu tư tổ chức đang cân nhắc tham gia ngành này, những thất bại lặp đi lặp lại cho thấy thị trường phi tập trung vẫn còn mang tính thử nghiệm.

Karapetsas lưu ý:

“Không có nguồn vốn nghiêm túc nào được phân bổ vào các hệ thống mong manh như vậy.”

Nhận thức này đã và đang định hình chính sách ở các nền kinh tế lớn trên toàn cầu.

Suhail Kakar, một nhà phát triển web3 nổi bật, đã nhấn mạnh một thực tế đáng suy ngẫm sau vụ khai thác Balancer: ngay cả nhiều cuộc kiểm toán an ninh nổi bật cũng không thể đảm bảo an toàn tuyệt đối cho DeFi.

Như anh đã lưu ý, Balancer đã trải qua hơn mười cuộc kiểm toán, với hợp đồng vault cốt lõi được nhiều công ty độc lập đánh giá; tuy nhiên, giao thức này vẫn bị vi phạm nghiêm trọng.

Quan điểm của Kakar nhấn mạnh một cảm nhận ngày càng tăng trong ngành rằng “đã được kiểm toán bởi X” không còn là dấu hiệu của sự bất khả xâm phạm; thay vào đó, nó phản ánh sự phức tạp vốn có và tính khó lường của các hệ thống phi tập trung, nơi ngay cả mã nguồn đã được kiểm thử kỹ lưỡng cũng có thể ẩn chứa các lỗ hổng chưa được phát hiện.

Các cuộc kiểm toán Balancer V2 (Nguồn: Balancer docs qua Suhail Kakar)

Các cơ quan chức năng tại Hoa Kỳ đang xây dựng các khung pháp lý để đưa ra quy định đối với các giao thức DeFi. Các nhà quan sát trong ngành kỳ vọng vụ khai thác Balancer sẽ thúc đẩy nhanh các nỗ lực này, khi các nhà hoạch định chính sách phải đối mặt với rủi ro ngày càng tăng từ việc tích hợp liên tục giữa crypto và ngành tài chính truyền thống.