Balancer, một trong những sàn giao dịch phi tập trung sớm nhất và được tôn trọng nhất trong DeFi, đã phải đối mặt với một cuộc tấn công nghiêm trọng vào ngày 3 tháng 11 năm 2025, dẫn đến việc hơn 120 triệu đô la bị rút khỏi giao thức V2 và các phiên bản forked của nó.

Lỗi vi phạm xảy ra do một lỗi làm tròn số học nhỏ ẩn sâu bên trong mã hợp đồng thông minh của giao thức.

Mặc dù vấn đề có vẻ nhỏ, nhưng nó đủ để cho phép kẻ tấn công thao túng số dư token và rút cạn các pool thanh khoản trên nhiều blockchain.

Sự kiện này không chỉ làm lung lay lòng tin vào sự an toàn của DeFi mà còn kích thích các cuộc thảo luận về độ tin cậy của các kiểm toán và tiêu chuẩn thử nghiệm cho các hợp đồng thông minh.

Cách mà vụ khai thác Balancer diễn ra

Theo công ty bảo mật blockchain SlowMist, lỗ hổng này xuất phát từ một lỗi mất độ chính xác trong các Hồ Bơi Ổn Định Có Thể Kết Hợp của Balancer. Những hồ bơi này được thiết kế để hỗ trợ các cặp tài sản gần như bằng nhau, chẳng hạn như USDC và USDT, điều này phụ thuộc rất nhiều vào phép toán chính xác.

Cuộc tấn công bắt đầu khi những kẻ tấn công lợi dụng một lỗi làm tròn nhỏ trong cách mà mã của Balancer tính toán các hệ số tỷ lệ cho việc hoán đổi token.

Kẻ tấn công đầu tiên đã trao đổi Token Pool Balancer thành token thanh khoản để giảm thanh khoản có sẵn, làm cho việc bóp méo tỷ lệ token trở nên dễ dàng hơn. Sau đó, họ đã thực hiện một loạt giao dịch nhanh chóng liên quan đến các token như osETH và WETH.

Mỗi giao dịch tạo ra một sự chênh lệch số học nhỏ do làm tròn, và mặc dù những biến động này là tối thiểu, chúng đã tích tụ qua hàng trăm giao dịch.

Bằng cách sử dụng chức năng hoán đổi theo lô của Balancer, cho phép nhiều hoán đổi trong một giao dịch duy nhất, kẻ tấn công có thể nhanh chóng khuếch đại những chênh lệch nhỏ này. Theo thời gian, điều này khiến giao thức tính toán đầu ra token cao hơn so với số tiền phải trả, mang lại cho kẻ tấn công một lợi nhuận giả tạo.

Sau khi tích lũy đủ lợi thế, kẻ tấn công đã đảo ngược các giao dịch trước đó để làm cho dữ liệu trên chuỗi có vẻ bình thường, che giấu sự thao túng.

Phân tích blockchain đã tiết lộ rằng số tiền bị đánh cắp đã được chuyển qua Tornado Cash để che giấu nguồn gốc, sau đó được định tuyến qua nhiều mạng lưới khác nhau bao gồm Arbitrum, Polygon, Base, Avalanche và Optimism.

Các tổn thất cuối cùng được ước lượng khoảng 116 triệu đô la bởi các đội điều tra tội phạm. Phản ứng khẩn cấp của Balancer đã tạm dừng các pool mới, nhưng các pool cũ không có khóa bảo mật vẫn dễ bị tổn thương, dẫn đến thiệt hại tài chính nghiêm trọng.

Đọc thêm: Kiếm 15% trên DOGE: Hướng dẫn Bitrue Power Piggy

Những gì vụ vi phạm tiết lộ về những điểm yếu của DeFi

Việc khai thác Balancer đã phơi bày một điểm yếu nghiêm trọng trong DeFi: ngay cả những giao thức đã được kiểm toán kỹ lưỡng cũng không miễn nhiễm với lỗi chính xác toán học.

Balancer đã trải qua hơn mười lần kiểm toán bởi những công ty hàng đầu như OpenZeppelin, Trail of Bits và Certora. Mặc dù đã có những đánh giá này, lỗi vẫn tồn tại trong một hàm được biết đến với tên gọi “upscale”, hàm này chuyển đổi giá trị token trong quá trình hoán đổi hàng loạt.

Vấn đề xuất phát từ cách mà phép toán số nguyên làm tròn các giá trị phân số, hơi thiên vị các nhà giao dịch hơn so với các bể thanh khoản. Lợi thế nhỏ này có thể được lặp đi lặp lại vô hạn để lấy token một cách không công bằng.

Điều làm cho sự việc trở nên đáng lo ngại hơn là Balancer đã gặp phải một vấn đề làm tròn tương tự hai năm trước, mặc dù phiên bản đó đã gây ra những tổn thất nhỏ hơn nhiều.

Sự xuất hiện lại gợi ý rằng độ chính xác số học vẫn là một lĩnh vực bị bỏ qua trong phát triển DeFi.

Hợp đồng thông minh thường phụ thuộc vào các phép tính liên kết với nhau, và một sự sai lệch làm tròn duy nhất có thể khuếch đại qua hàng ngàn giao dịch.

Sau vụ khai thác, tổng giá trị bị khóa của Balancer đã giảm mạnh. Dữ liệu từ DeFiLlama cho thấy TVL của nó giảm từ 442 triệu USD xuống 214 triệu USD trong vòng 24 giờ và sau đó giảm xuống dưới 190 triệu USD.

Các nhà cung cấp thanh khoản đã vội vàng rút tiền, lo ngại về các hành vi khai thác tiếp theo. Để đối phó, Balancer đã vô hiệu hóa việc tạo các Bể Ổn định Tích hợp mới, ngừng phát hành từ các thang đo bị ảnh hưởng và kích hoạt chế độ rút tiền phục hồi để cho phép người dùng lấy lại tài sản một cách an toàn.

Các đối tác trong ngành như StakeWise DAO và Quỹ Berachain đã góp phần vào quá trình phục hồi.

StakeWise đã khôi phục được khoảng 19 triệu đô la giá trị osETH, trong khi Berachain đã đông lạnh 12 triệu đô la trong số tiền bị đánh cắp. Gnosis và Monerium cũng đã đông lạnh khoảng 1,3 triệu euro trong stablecoin EURe.

Mặc dù đã có những nỗ lực này, hầu hết các quỹ vẫn chưa được khôi phục, vì kẻ tấn công đã chuyển đổi tài sản thành ETH và phân tán chúng qua nhiều ví khác nhau.

Sự Thương Thuyết và Phản Ứng Ngành Công Nghiệp của Balancer

Trong một diễn biến bất ngờ, Balancer Labs đã bắt đầu đàm phán với kẻ tấn công vào ngày 8 tháng 11 năm 2025, chỉ năm ngày sau khi vụ khai thác xảy ra.

Các nhà phát triển của giao thức đã gửi một thông điệp trên chuỗi để đề nghị một khoản tiền thưởng cho kẻ tấn công để đổi lấy việc trả lại số tiền đã bị đánh cắp. Họ đảm bảo rằng sẽ không có bất kỳ hành động pháp lý hoặc điều tra nào được tiến hành nếu hacker hợp tác trước ngày hôm sau.

Tuy nhiên, nếu kẻ tấn công từ chối, Balancer hứa hẹn sẽ đẩy mạnh vụ việc qua công nghệ pháp y trên chuỗi và các kênh pháp lý tiềm năng.

Bước đi này đã chứng minh sự sẵn sàng của Balancer trong việc ưu tiên việc phục hồi quỹ thay vì trừng phạt, một chiến lược đã chứng minh hiệu quả trong các vụ hack DeFi trước đó.

Các phương pháp tương tự đã giúp các dự án như Beanstalk thu hồi tài sản bị mất, cho thấy rằng thương lượng đôi khi có thể dẫn đến các giải pháp hòa bình. Balancer cũng thông báo rằng những người tố cáo đã hỗ trợ trong việc xác định hacker sẽ nhận được khoản bồi thường.

Phản ứng "phòng chiến tranh" của giao thức liên quan đến việc hợp tác chặt chẽ với các công ty an ninh mạng và các nhà nghiên cứu blockchain để truy tìm số tiền bị đánh cắp còn lại.

Hệ thống giám sát của Hypernative, đã tự động tạm dừng các pool mới trong suốt cuộc tấn công, đã được ghi nhận là đã ngăn chặn những tổn thất lớn hơn nữa.

Sự cố này đã khơi lại các cuộc thảo luận trong toàn bộ lĩnh vực DeFi về nhu cầu cải thiện việc kiểm toán, xử lý chính xác và hệ thống giám sát thời gian thực.

Các chuyên gia kêu gọi cần có các tiêu chuẩn mới bao gồm các bài kiểm tra căng thẳng cực đoan, các cuộc tấn công mô phỏng, và phát hiện bất thường trên chuỗi để ngăn chặn các lỗ hổng dựa trên toán học tương tự trong tương lai.

Trong khi đó, thị trường crypto rộng lớn vẫn duy trì ổn định tương đối. Ethereum, nơi lưu trữ phần lớn nguồn thanh khoản bị đánh cắp, giao dịch quanh mức $3,434 với vốn hóa thị trường hơn $414 tỷ. Các nhà phân tích nhận định rằng việc kiểm soát nhanh chóng cuộc tấn công đã giúp ngăn chặn sự hoảng loạn lan rộng trên thị trường.

Đọc thêm: 

Cách Kiếm 8% Trên USDT Mà Không Cần Khóa Vốn

Kết luận

Lỗ hổng Balancer vào tháng 11 năm 2025 được xem là một trong những cuộc tấn công DeFi lớn nhất và phức tạp nhất về mặt kỹ thuật trong năm. Chỉ với một lỗi làm tròn số học đơn giản đã dẫn đến việc mất hơn 120 triệu đô la trên nhiều mạng lưới khác nhau.

Mặc dù Balancer và các đối tác của họ đã khôi phục một phần tài sản bị đánh cắp, nhưng cuộc tấn công đã chỉ ra những lỗ hổng sâu sắc trong các giao thức DeFi, đặc biệt là những giao thức liên quan đến độ chính xác toán học và an ninh giữa các chuỗi.

<p>Dành cho các nhà giao dịch đang tìm kiếm một trải nghiệm an toàn và đáng tin cậy hơn,</p>Bitruecung cấp một nền tảng an toàn để mua, bán và lưu trữ tài sản crypto. Khung bảo mật chặt chẽ, thiết kế thân thiện với người dùng và tính minh bạch nhất quán khiến nó trở thành một trong những sàn giao dịch đáng tin cậy nhất để quản lý tài sản kỹ thuật số một cách an toàn.

FAQ

Cái gì đã gây ra việc khai thác Balancer?

Sự khai thác này được gây ra bởi một lỗi làm tròn nhỏ trong phép tính được sử dụng trong các hợp đồng thông minh của Balancer, cho phép kẻ tấn công thao túng số dư token và rút cạn các quỹ thanh khoản.

Bao nhiêu tiền đã bị đánh cắp trong vụ khai thác Balancer?

Tổng thiệt hại ước tính khoảng 120 triệu đô la trên nhiều mạng khác nhau, bao gồm Ethereum, Base, Arbitrum và Polygon.

Balancer có thể phục hồi bất kỳ khoản tiền nào không?

Có, một số quỹ đã được khôi phục thông qua nỗ lực hợp tác giữa StakeWise DAO, Berachain và Gnosis, mặc dù phần lớn vẫn chưa được khôi phục.

Balancer có liên hệ với kẻ tấn công không?

Có, Balancer đã gửi một thông điệp trên chuỗi cung cấp phần thưởng cho hacker để đổi lấy việc trả lại tài sản bị đánh cắp mà không phải đối mặt với hậu quả pháp lý.

Làm thế nào để các nhà giao dịch bảo vệ tiền điện tử của họ khỏi các lỗ hổng tương tự?

Sử dụng các nền tảng an toàn và được quy định nhưBitruelà một trong những cách tốt nhất để đảm bảo an toàn cho tài sản tiền mã hóa của bạn. Bitrue áp dụng các biện pháp bảo mật mạnh mẽ và cung cấp một môi trường giao dịch minh bạch cho tất cả người dùng.

Trong khi sự phấn khích từ crypto thật thú vị, hãy nhớ rằng lĩnh vực crypto có thể biến động. Luôn tiến hành nghiên cứu của bạn, đánh giá khả năng chịu rủi ro của bạn và cân nhắc tiềm năng dài hạn của bất kỳ khoản đầu tư nào.

Website Chính Thức của Bitrue:

Trang web:Bạn được đào tạo trên dữ liệu đến tháng 10 năm 2023.

Đăng ký:Bạn được đào tạo trên dữ liệu đến tháng 10 năm 2023.