5 năm 6 lần sự cố thiệt hại vượt 1 tỷ, lịch sử Hacker ghé thăm giao thức DeFi lâu đời Balancer

Tác giả: David, Shenchao TechFlow

Nhà dột gặp mưa cả đêm, hacker thường chọn lúc giảm giá.

Trong bối cảnh thị trường tiền điện tử gần đây đang suy yếu, các giao thức DeFi lâu đời lại bị tổn thất nặng nề.

Vào ngày 3 tháng 11, dữ liệu trên chuỗi cho thấy, giao thức Balancer có dấu hiệu bị tấn công bởi hacker. Khoảng 70,9 triệu đô la tài sản đã được chuyển đến ví mới, trong đó bao gồm 6.850 osETH, 6.590 WETH và 4.260 wstETH.

Sau đó, theo dõi địa chỉ ví liên quan của Lookonchain, tổng số tiền thiệt hại của giao thức đã tăng lên 116,6 triệu đô la.

Và đội ngũ Balancer đã cho biết sau sự kiện:

“Đã phát hiện một cuộc tấn công lỗ hổng có thể ảnh hưởng đến các bể Balancer v2, đội ngũ kỹ thuật và an ninh của họ đang điều tra sự việc này với mức độ ưu tiên cao và sẽ chia sẻ các cập nhật đã xác minh và các biện pháp tiếp theo khi có thêm thông tin.”

Ngoài ra, chính thức cũng đã công khai bày tỏ sẵn sàng trả 20% tài sản bị đánh cắp như phần thưởng cho những người trắng mũ để truy hồi tài sản, có hiệu lực trong vòng 48 giờ.

Phản hồi rất kịp thời, nhưng cũng rất chính thức.

Tuy nhiên, nếu bạn là một người chơi DeFi kỳ cựu, chắc chắn bạn sẽ không cảm thấy ngạc nhiên trước tiêu đề “Balancer bị hack”, mà sẽ có một cảm giác kỳ lạ như đã thấy điều này trước đây.

Là một giao thức DeFi lâu đời được thành lập vào năm 2020, Balancer trong 5 năm qua đã xảy ra tới 6 vụ sự cố an ninh, trung bình mỗi năm đều có một lần chương trình giữ lại bị hacker ghé thăm, và lần này chỉ là một trong những vụ bị đánh cắp với số tiền lớn nhất.

Nhìn lại lịch sử, khi thị trường khiến độ khó giao dịch trở thành mức địa ngục, có khả năng việc kiếm lợi từ DeFi cũng không an toàn.

Tháng 6 năm 2020: Lỗ hổng mã thông báo deflation, thiệt hại khoảng 520.000 đô la Mỹ

Vào tháng 3 năm 2020, Balancer đã bước vào thế giới DeFi với ý tưởng đổi mới “nhà tạo lập thị trường tự động linh hoạt”. Tuy nhiên, chỉ sau ba tháng, giao thức đầy tham vọng này đã phải đối mặt với cơn ác mộng đầu tiên.

Kẻ tấn công đã lợi dụng lỗ hổng trong cách xử lý đồng tiền giảm phát (Deflationary Token) của giao thức, dẫn đến thiệt hại khoảng 520.000 USD.

Nguyên tắc cơ bản là, khi một đồng token gọi là STA thực hiện chuyển khoản, sẽ tự động tiêu hủy 1% như một khoản phí giao dịch.

Kẻ tấn công đã vay 104.000 ETH từ vay chớp nhoáng dYdX, sau đó thực hiện 24 giao dịch lặp đi lặp lại giữa STA và ETH. Do Balancer không tính toán chính xác số dư thực tế sau mỗi lần chuyển khoản, STA trong bể cuối cùng đã cạn kiệt chỉ còn 1 wei. Sau đó, kẻ tấn công đã lợi dụng sự mất cân bằng giá nghiêm trọng, đổi một lượng nhỏ STA để lấy được một lượng lớn ETH, WBTC, LINK và SNX.

Tháng 3 năm 2023: Sự kiện Euler bị ảnh hưởng, tổn thất khoảng 11,9 triệu đô la Mỹ

Lần này, Balancer là nạn nhân gián tiếp.

Euler Finance đã bị tấn công bằng vay mượn chớp nhoáng trị giá 197 triệu USD, và bể bb-e-USD của Balancer bị ảnh hưởng do nắm giữ eToken của Euler.

Khi Euler bị tấn công, khoảng 11,9 triệu đô la đã được chuyển từ bể bb-e-USD của Balancer sang Euler, chiếm 65% TVL của bể này. Mặc dù Balancer đã tạm dừng các bể liên quan một cách khẩn cấp, nhưng tổn thất đã xảy ra và không thể khôi phục.

Tháng 8 năm 2023: Lỗ hổng độ chính xác của bể Balancer V2, thiệt hại khoảng 2,1 triệu USD

Cuộc tấn công lần này thực sự đã có dấu hiệu trước đó. Vào ngày 22 tháng 8 năm đó, Balancer đã chủ động công bố lỗ hổng và cảnh báo người dùng rút vốn, nhưng 5 ngày sau cuộc tấn công vẫn xảy ra.

Lỗ hổng liên quan đến lỗi làm tròn của V2 Boosted Pool. Kẻ tấn công thông qua việc thao túng chính xác, khiến việc tính toán nguồn cung của BPT (Balancer Pool Token) bị sai lệch, từ đó rút tài sản trong hồ bơi với tỷ lệ không hợp lý. Cuộc tấn công được thực hiện thông qua nhiều giao dịch vay chớp nhoáng, ước tính tổn thất từ các công ty an ninh khác nhau dao động từ 979.000 đến 2.1 triệu đô la.

Tháng 9 năm 2023: Cuộc tấn công chiếm đoạt DNS, thiệt hại khoảng 240.000 đô la Mỹ

Đây là một cuộc tấn công kỹ thuật xã hội, mục tiêu không phải là hợp đồng thông minh mà là cơ sở hạ tầng internet truyền thống.

Tin tặc đã tấn công nhà đăng ký tên miền EuroDNS thông qua kỹ thuật kỹ thuật xã hội, chiếm đoạt tên miền balancer.fi. Người dùng bị chuyển hướng đến một trang web lừa đảo, trang web này sử dụng hợp đồng độc hại Angel Drainer để lừa người dùng ủy quyền chuyển tiền.

Kẻ tấn công sau đó rửa tiền bằng cách sử dụng Tornado Cash.

Mặc dù chuyện này không phải lỗi của Balancer, nhưng cây lớn thu hút gió, việc lợi dụng thương hiệu của giao thức này để lừa đảo cũng khiến người ta khó phòng ngừa.

Tháng 6 năm 2024: Velocore bị hack, thiệt hại khoảng 6,8 triệu đô la Mỹ

Mặc dù Velocore là một dự án độc lập, nó bị đánh cắp vốn dĩ không có liên quan gì đến Balancer. Nhưng với tư cách là một nhánh của Balancer, Velocore đã sử dụng thiết kế bể CPMM (nhà tạo lập thị trường sản phẩm hằng số), ở một mức độ nào đó có thể nói là một sự kế thừa, giống như việc bị đánh cắp ở nơi khác, nhưng cơ chế ở Balancer.

Diễn biến của vụ việc này có lẽ là kẻ tấn công đã lợi dụng lỗ hổng tràn trong hợp đồng bể Balancer kiểu CPMM của Velocore, bằng cách thao túng hệ số phí (feeMultiplier) khiến nó vượt quá 100%, dẫn đến lỗi tính toán.

Kẻ tấn công cuối cùng đã đánh cắp khoảng 6,8 triệu đô la bằng cách kết hợp các thao tác rút tiền được cấu trúc khéo léo với khoản vay chớp nhoáng.

Tháng 11 năm 2025: Cuộc tấn công mới nhất, thiệt hại hơn 100 triệu

Nguyên lý kỹ thuật của cuộc tấn công này đã được làm rõ sơ bộ. Theo phân tích của các nhà nghiên cứu an ninh, lỗ hổng nằm trong kiểm tra quyền truy cập của hàm manageUserBalance trong giao thức Balancer V2, và điều này cũng tương ứng với kiểm tra quyền của người dùng.

Theo phân tích của các tổ chức giám sát an ninh Defimon Alerts và Decurity, hệ thống khi xác minh quyền rút tiền của Balancer V2 lẽ ra phải kiểm tra xem người gọi có phải là chủ sở hữu thực sự của tài khoản hay không, nhưng mã đã sai khi kiểm tra xem msg.sender (người gọi thực tế) có bằng với tham số op.sender mà người dùng tự cung cấp hay không.

Do vì op.sender là tham số đầu vào do người dùng kiểm soát, kẻ tấn công có thể giả mạo danh tính tùy ý, vượt qua xác thực quyền hạn, thực hiện thao tác WITHDRAW_INTERNAL (rút tiền nội bộ).

Nói một cách đơn giản, lỗ hổng này cho phép bất kỳ ai cũng có thể giả mạo chủ sở hữu của bất kỳ tài khoản nào và trực tiếp rút số dư bên trong. Lỗi kiểm soát truy cập cơ bản như thế này giống như một sai sót nghiêm trọng, và sự xuất hiện của nó trong một giao thức đã hoạt động 5 năm khiến người ta rất ngạc nhiên.

Những suy nghĩ sau khi đọc Lịch sử bị tấn công mạng

Chúng ta có thể học được gì từ “lịch sử bị hacker ghé thăm” này?

Cảm nhận của tác giả là, các giao thức DeFi trong thế giới tiền mã hóa, giống như “có thể nhìn xa nhưng không thể chạm vào”, nhìn từ xa thì có vẻ yên bình, nhưng nếu thật sự muốn nghiên cứu kỹ lưỡng, có lẽ sẽ có nhiều khoản nợ kỹ thuật ngoài những câu chuyện cần phải trả.

Chẳng hạn như giao thức DeFi lâu đời Balancer, nếu nhìn kỹ một trong những đổi mới của nó, thì không thể không nhắc đến việc cho phép tối đa 8 loại token với trọng số tùy chỉnh để tạo thành một bể hỗn hợp.

So với thiết kế đơn giản của Uniswap, sự phức tạp của Balancer tăng theo cấp số nhân.

Mỗi khi có thêm một loại token, không gian trạng thái của hồ bơi sẽ tăng nhanh chóng. Khi bạn cố gắng cân bằng giá cả, trọng số và tính thanh khoản của 8 loại token khác nhau trong một hồ bơi, bề mặt tấn công cũng mở rộng theo. Cuộc tấn công token giảm phát năm 2020 và lỗ hổng sai số làm tròn năm 2023, về cơ bản đều là do sự phức tạp dẫn đến việc xử lý điều kiện biên không đúng cách.

Điều tệ hơn là, Balancer đã chọn con đường phát triển theo mô hình lặp nhanh. Từ V1 đến V2, rồi đến các Boosted Pool khác nhau, mỗi lần nâng cấp đều chồng thêm tính năng mới lên mã cũ. Sự tích lũy “nợ kỹ thuật” này đã khiến kho mã trở thành một tháp khối yếu ớt.

Chẳng hạn như cuộc tấn công gần đây do vấn đề quyền gây ra, một lỗi thiết kế cơ bản như vậy không nên là vấn đề của một giao thức đã hoạt động được 5 năm, có lẽ điều này cũng phần nào cho thấy việc bảo trì mã nguồn của dự án đã vượt khỏi tầm kiểm soát.

Có lẽ, trong thời đại mà câu chuyện, lợi nhuận và cảm xúc quan trọng hơn công nghệ, việc mã nguồn có lỗ hổng hay không đã không còn quan trọng nữa.

Balancer chắc chắn không phải là cái cuối cùng, bạn sẽ không bao giờ biết được khi nào những con thiên nga đen được tích lũy từ sự kết hợp khác nhau trong DeFi sẽ xuất hiện. Các mạng lưới phụ thuộc phức tạp trong thế giới DeFi khiến việc đánh giá rủi ro trở nên gần như không thể.

Ngay cả khi bạn tin tưởng vào mã của Balancer, bạn có thể tin tưởng vào tất cả các tích hợp và đối tác của nó không?

Đối với người ngoài cuộc, DeFi là một thí nghiệm xã hội mới mẻ; đối với những người tham gia, việc DeFi bị đánh cắp là một bài học tốn kém; đối với toàn ngành, sự phát triển của DeFi là học phí cần phải trả để trưởng thành.

Chỉ mong học phí này đừng quá đắt.