Cảnh báo rủi ro: Đề phòng huy động vốn bất hợp pháp dưới danh nghĩa 'tiền điện tử' và 'blockchain'. — Năm cơ quan bao gồm Ủy ban Giám sát Ngân hàng và Bảo hiểm
Thông tin
Khám phá
Tìm kiếm
Đăng nhập
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
BTC
ETH
HTX
SOL
BNB
Xem thị trường
Sự cố lỗ hổng Balancer: Một thử nghiệm lớn cho DeFi
CoinRank
特邀专栏作者
2025-11-10 05:34
Bài viết này có khoảng 1880 từ, đọc toàn bộ bài viết mất khoảng 3 phút
Vụ hack Balancer trị giá 128 triệu đô la đã làm rung chuyển thế giới DeFi, phơi bày các lỗ hổng mã nghiêm trọng và buộc dự án phải thực hiện các bản sửa lỗi khẩn cấp và bồi thường—thực tế khắc nghiệt là khi bảo mật bị tụt hậu, tốc độ có thể gây tử vong.

Trong lĩnh vực tiền điện tử, DeFi (Tài chính phi tập trung) từ lâu đã được coi là một mô hình tiên tiến, cung cấp dịch vụ cho vay và giao dịch thông qua hợp đồng thông minh mà không cần đến các ngân hàng truyền thống. Balancer, một giao thức thanh khoản chủ chốt trong DeFi, giúp người dùng quản lý tài sản và kiếm lợi nhuận thông qua thiết kế pool linh hoạt. Tuy nhiên, vào sáng sớm ngày 3 tháng 11 năm 2025, giao thức này đã bị tấn công lỗ hổng bảo mật nghiêm trọng. Kẻ tấn công đã rút khoảng 128 triệu đô la khỏi các Pool Ổn định Composable của Balancer V2. Sự cố này đã làm tổn hại đến niềm tin của thị trường, khiến giá của nhiều dự án DeFi giảm, đặc biệt là các tài sản rủi ro cao. Đây không chỉ là vấn đề của Balancer mà còn là lời cảnh tỉnh cho toàn bộ hệ sinh thái DeFi: mặc dù công nghệ đang đổi mới nhanh chóng, nhưng các vấn đề bảo mật vẫn luôn là mối đe dọa thường trực.

Sự cố xảy ra vào sáng sớm Chủ nhật, khoảng 2 giờ sáng giờ Bắc Kinh. Vào thời điểm đó, hầu hết các nhà giao dịch toàn cầu đang nghỉ ngơi. Những kẻ tấn công đã sử dụng các khoản vay nhanh để thao túng tỷ trọng của các nhóm giao dịch. Ban đầu, giao dịch có vẻ bình thường, nhưng dòng tiền nhanh chóng bắt đầu chảy bất thường. Một nhóm đã mất khoảng 70 triệu đô la, bao gồm các tài sản như ETH và USDC. Dữ liệu trên chuỗi cho thấy tổng thiệt hại lên tới 128 triệu đô la.

Những sai sót trong thiết kế hợp đồng

Các nhóm ổn định có thể cấu hình của Balancer V2 là một thiết kế tiên tiến. Chúng cho phép người dùng kết hợp các chiến lược thanh khoản khác nhau, với trọng số được điều chỉnh linh hoạt để tối ưu hóa lợi nhuận và giảm thiểu trượt giá. Tính linh hoạt này là điểm mạnh cốt lõi của Balancer, nhưng cũng đồng thời gây ra sự phức tạp. Cuộc tấn công này đã khai thác một lỗ hổng nghiêm trọng trong hợp đồng: lỗi tràn số nguyên trong quá trình tính toán trọng số. Khi kẻ tấn công bơm một lượng lớn thanh khoản giả thông qua các khoản vay nhanh, phân bổ tài sản của nhóm đã bị bóp méo. Tỷ lệ cân bằng 50% ETH và 50% USDC trước đó ngay lập tức trở nên cực kỳ bất cân bằng. Kẻ tấn công sau đó đã trích xuất tài sản thực, sử dụng chúng để trả nợ và hoàn tất giao dịch chênh lệch giá.

Vài tháng trước, một công ty bảo mật, Webacy, đã nhận thấy vấn đề tiềm ẩn này trong quá trình kiểm toán. Họ chỉ ra rằng các công thức toán học có thể hoạt động không bình thường trong điều kiện khắc nghiệt. Tuy nhiên, cảnh báo này đã không được giải quyết kịp thời. Vào thời điểm đó, nhóm Balancer đang tập trung vào việc phát triển các tính năng mới để chống lại áp lực từ các đối thủ cạnh tranh như Uniswap V4. Tốc độ phát triển trong ngành DeFi rất nhanh và việc đánh giá mã đôi khi bị trì hoãn. Đây không phải là trường hợp cá biệt; một số sự cố tương tự đã xảy ra trong không gian DeFi trong năm nay, dẫn đến tổng thiệt hại vượt quá 2,17 tỷ đô la. Ví dụ, cuộc tấn công trị giá 600 triệu đô la vào cầu Ronin và lỗ hổng bảo mật của Poly Network đều bắt nguồn từ những lỗi thiết kế tương tự. Nhà sáng lập Ethereum, Vitalik Buterin sau đó đã bình luận rằng sự phức tạp này là con dao hai lưỡi đối với DeFi; các thiết kế đơn giản hơn thường an toàn hơn.

Những kẻ tấn công có kỹ năng cao. Chúng có thể có kinh nghiệm phát triển DeFi và đã sử dụng các điều kiện biên trong ngôn ngữ Solidity để thực hiện hoạt động này. Việc theo dõi quỹ cho thấy một số tài sản đã chảy vào các công cụ trộn, qua đó che giấu hoạt động của chúng. Sự cố này là một lời nhắc nhở rằng việc kiểm tra bảo mật hợp đồng thông minh đòi hỏi các quy trình nghiêm ngặt hơn, bao gồm kiểm tra biên và xác minh chính thức.

Phản hồi của nhóm

Phản ứng của đội ngũ Balancer rất đáng khen ngợi. Chỉ trong vòng 15 phút sau khi sự cố xảy ra, họ đã kích hoạt cơ chế khẩn cấp, đóng băng tất cả các nhóm V2 bị ảnh hưởng. Đây là một biện pháp dự phòng đã được chuẩn bị trước và đã được thử nghiệm trong các lần kiểm tra trước đó. Nhà sáng lập Fernando Martinelli đã phát biểu với người dùng qua buổi phát trực tiếp và thông báo chính thức, tuyên bố: "Đây là một lỗi nội bộ và chúng tôi sẽ chịu hoàn toàn trách nhiệm."

Tiếp theo, nhóm đã hợp tác với các công ty kiểm toán như PeckShield và Certik để tiến hành một cuộc điều tra chuyên sâu. Kết quả cho thấy lỗ hổng bảo mật bắt nguồn từ việc xử lý không đúng các điều kiện biên trong điều chỉnh trọng số tần suất cao, dẫn đến phân bổ sai tài sản. Họ cam kết sẽ phát hành báo cáo chi tiết trong vòng 48 giờ và ra mắt phiên bản V2.1, bổ sung thêm công cụ xác minh đa chữ ký và mạnh mẽ hơn. Kế hoạch bồi thường là trọng tâm chính: 90% tổn thất sẽ được bù đắp bằng quỹ kho, phần còn lại được quyết định thông qua bỏ phiếu DAO, ưu tiên người dùng nhỏ lẻ. Đồng thời, họ dự định đốt một phần token quản trị BAL để ổn định giá thị trường.

Phản ứng của cộng đồng rất trái chiều. Một số người khen ngợi tính minh bạch và hiệu quả của nhóm, trong khi những người khác đặt câu hỏi tại sao các cảnh báo sớm lại bị bỏ qua. Một nhà phát triển ẩn danh cho biết áp lực phát triển quá lớn, dẫn đến việc kiểm tra các trường hợp ngoại lệ không đầy đủ. Tuy nhiên, cổng bồi thường đã hoạt động vào ngày 4 tháng 11 và người dùng đã bắt đầu nhận tiền. Một người dùng chia sẻ rằng nhóm không chỉ hoàn lại khoản lỗ của cô mà còn cung cấp thêm token để bồi thường, điều này khiến cô cân nhắc lại việc tiếp tục tham gia DeFi.

Bài học từ DeFi

Sự cố Balancer như một tấm gương phản chiếu những vấn đề sâu xa của DeFi: phi tập trung đồng nghĩa với việc thiếu vắng một cơ quan quản lý trung ương, nhưng cũng đồng nghĩa với việc trách nhiệm hoàn toàn thuộc về mã nguồn và cộng đồng. Đổi mới diễn ra nhanh chóng, nhưng bảo mật lại chậm trễ. Nhiều sự cố lỗ hổng bảo mật trong năm nay cho thấy ngành công nghiệp này cần phải thay đổi tư duy. Sau sự cố Ronin, lẽ ra đã phải nỗ lực tăng cường bảo mật cầu nối, nhưng những vấn đề tương tự vẫn tiếp tục tái diễn.

Các chuyên gia khuyến nghị phương pháp tiếp cận "bảo mật là trên hết". Điều này bao gồm việc sử dụng các công cụ xác minh chính thức để kiểm tra logic hợp đồng hoặc áp dụng kiểm toán hỗ trợ AI. Các mạng lớp 2 như Optimism đang đẩy nhanh việc thành lập các quỹ bảo mật, và Uniswap đã tăng ngân sách kiểm toán. Cộng đồng nhà phát triển đã khởi động một số sáng kiến nguồn mở để chia sẻ các phương pháp hay nhất về bảo mật. Bài viết của Vitalik nhấn mạnh rằng sự phức tạp không phải là vấn đề; vấn đề nằm ở việc bỏ qua rủi ro.

Về lâu dài, sự cố này có thể đẩy nhanh quá trình trưởng thành của DeFi. Nó sẽ thu hút thêm nhiều hoạt động kiểm toán chuyên nghiệp từ tài chính truyền thống và khiến người dùng e ngại rủi ro hơn. DeFi không phải là thiên đường không rủi ro, mà là một lĩnh vực đòi hỏi sự tham gia thận trọng.

Liên kết nguồn
DeFi
Chào mừng tham gia cộng đồng chính thức của Odaily
Nhóm đăng ký
https://t.me/Odaily_News
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Tài khoản chính thức
https://twitter.com/OdailyChina
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Bài viết đề xuất
Ngừng đóng gói các khoản đầu tư có rủi ro cao dưới dạng stablecoin.
Với đợt chào bán công khai trị giá 1,39 tỷ đô la, thách thức BASE và OP, liệu MegaETH có thể đột phá khỏi bối cảnh Layer 2 mới không?
Báo cáo phân tích kỹ thuật về vụ tấn công mạng lưới khai thác LuBian và vụ đánh cắp một lượng lớn Bitcoin
Tóm tắt AI
Trở về đầu trang
  • 核心观点:DeFi安全漏洞暴露行业风险隐患。
  • 关键要素:
    1. Balancer遭漏洞攻击损失1.28亿美元。
    2. 合约权重计算存在整数溢出缺陷。
    3. 安全警告未及时处理致损失扩大。
  • 市场影响:DeFi资产价格下跌,行业加强安全审查。
  • 时效性标注:中期影响
Thư viện tác giả
CoinRank
Phân tích chuyên sâu về dự án Hyperliquid
Sự hỗn loạn trong việc gây quỹ của Stable: Tại sao tôi lại bỏ lỡ chuyến tàu FOMO
Quan hệ đối tác của WLFI với Solana đã đẩy vốn hóa thị trường của công ty lên hơn 3 tỷ đô la, làm dấy lên lo ngại trong giới chuyên gia.
Bảng xếp hạng bài viết nóng
Daily
Weekly
Câu chuyện về "sự mất mát" của Brother Machi: Tài khoản của ông đạt đỉnh điểm với gần 60 triệu đô la, rồi biến mất trong vòng 47 ngày.
Câu chuyện về "sự mất mát" của Brother Machi: Tài khoản của ông đạt đỉnh điểm với gần 60 triệu đô la, rồi biến mất trong vòng 47 ngày.
Triển vọng thị trường tháng 11 năm 2025: Từ FOMC đến Thỏa thuận x402, Phân tích toàn diện các chủ đề nóng toàn cầu
Các nhóm khai thác hàng đầu và toàn bộ hệ sinh thái sức mạnh tính toán đã tham gia mạng thử nghiệm Psy Protocol để cùng nhau xây dựng nền tảng hợp đồng thông minh PoW thế hệ tiếp theo.
Sau khi Bitcoin giảm xuống dưới 100.000 đô la: Ai đã đi ngược xu hướng và tăng vọt, và ai đã nắm bắt cơ hội để giảm xuống mức 0?
Với mức tăng gấp 20 lần trong 3 tháng, liệu câu chuyện "Bitcoin Silver" của ZEC có đáng tin cậy không?
Tải ứng dụng Odaily Nhật Báo Hành Tinh
Hãy để một số người hiểu Web3.0 trước
IOS
Android