Giao thức tài chính phi tập trung (DeFi) Balancer đã công bố báo cáo điều tra ban đầu liên quan đến vụ tấn công bảo mật rút đi khoảng 116 triệu USD từ các nhóm thanh khoản vào đầu tuần này.
Theo Deddy Lavid, CEO của công ty bảo mật blockchain Cyvers, đây là một trong những vụ tấn công “tinh vi nhất” trong năm 2025.
Nội dung bài viết
Lỗ hổng xuất phát từ các nhóm Stable Pool v2 và Composable Stable v5
Theo báo cáo của Balancer, kẻ tấn công đã khai thác một lỗ hổng mã phức tạp trong Stable Pool Balancer v2 và Composable Stable v5. Các nhóm thanh khoản khác trên Balancer không bị ảnh hưởng.
Vụ tấn công kết hợp nhiều cơ chế DeFi nâng cao, bao gồm:
- BatchSwap – cho phép gộp nhiều thao tác giao dịch trong cùng một block.
- Flash Loan – khoản vay nhanh được vay và trả trong một giao dịch duy nhất.
- Khai thác lỗi làm tròn (rounding exploit) trong chức năng hoán đổi EXACT_OUT của Stable Pool.
Hàm làm tròn này vốn được thiết kế để làm tròn xuống trong các giao dịch hoán đổi khi token input là biến đầu vào nhằm tránh sai lệch tỷ lệ giá. Tuy nhiên, kẻ tấn công đã thao túng độ chênh lệch làm tròn thông qua các thao tác tính toán được điều chỉnh chính xác trong BatchSwap, từ đó rút cạn thanh khoản khỏi nhóm.
Trong nhiều trường hợp, số tài sản bị hack vẫn còn tạm thời nằm trong Vault trước khi được rút hết ra ngoài qua các bước giao dịch tiếp theo.
Hacker chuẩn bị trước và che giấu dấu vết qua Tornado Cash
Theo dữ liệu on-chain, kẻ tấn công đã chuẩn bị trong thời gian dài và sử dụng nhiều khoản nạp 0,1 ETH qua Tornado Cash để che giấu nguồn gốc giao dịch trước khi tiến hành khai thác, một chiến thuật thường thấy trong các cuộc tấn công on-chain tinh vi.
Ngay sau khi phát hiện, Balancer đã: Tạm dừng toàn bộ các pool bị ảnh hưởng; Vô hiệu hóa việc tạo pool mới có cấu trúc dễ bị tấn công. Hợp tác với các giao thức và đội ngũ an ninh để truy vết và đóng băng tài sản.
Tính đến thời điểm hiện tại, khoảng 5.041 StakeWise Staked ETH (osETH) ~19 triệu USD, 13.495 osGNO ~2 triệu USD… đã được đóng băng hoặc kiểm soát lại.
Treo thưởng 20% cho hacker trả lại tiền
Balancer đã đưa ra mức thưởng 20% giá trị tài sản trả lại dành cho: Hacker mũ trắng (white hats), hoặc Chính thủ phạm nếu hoàn trả tài sản tự nguyện. Tuy nhiên, chưa có phản hồi nào từ phía kẻ tấn công.
Vụ hack nhấn mạnh thực tế rằng ví nóng, pool thanh khoản, và các tổ chức lưu trữ tài sản trực tuyến (on-chain) vẫn dễ trở thành mục tiêu trong bối cảnh các vụ tấn công tài chính số ngày càng tinh vi.
Đối với người dùng, điều này một lần nữa làm nổi bật tầm quan trọng của phân quyền lưu trữ và kiểm soát khóa cá nhân. Đối với các nhà phát triển DeFi, đây là lời nhắc nhở về nhu cầu kiểm toán sâu, kiểm tra biến số làm tròn và mô phỏng tấn công trước khi triển khai hợp đồng thông minh ra môi trường thực.
Linh Bùi là một nhà sáng tạo nội dung, chuyên gia nghiên cứu trong lĩnh vực tài chính nói chung và tiền điện tử nói riêng. Với mong muốn chia sẻ các tuyến bài viết chuyên về kiến thức, cập nhật tin tức về thị trường tài chính tại Việt Nam và trên toàn cầu, Linh Bùi đã và đang tham gia với vai trò biên tập viên/người sáng tạo nội dung tại một số nền tảng, sàn giao dịch như Fiahub, BeInCrypto, Mitrade, Finixio, Dr.Localize… Trong mỗi bài viết của mình, Linh Bùi đều mong muốn đơn giản hóa các khái niệm tài chính liên quan, giảm thiểu rào cản gia nhập cho độc giả, đặc biệt là những người mới tham gia.
