Báo cáo sơ bộ của Balancer đã được công bố! Lỗ hổng hàm bỏ đi gây thiệt hại ước tính 116 triệu USD

DeFi (phi tập trung tài chính) Balancer đã công bố báo cáo phân tích sơ bộ về vụ tấn công, làm rõ nguyên nhân của lỗ hổng dẫn đến việc mất 1,16 tỷ USD vốn. Trong tuần này, Balancer đã bị tấn công bằng mã độc phức tạp, ảnh hưởng đến các pool ổn định v2 và Composable ổn v5, trong đó hacker đã kết hợp sử dụng BatchSwaps và khai thác các hàm làm tròn (舍入函數) trong các pool stablecoin để trộm cắp tài sản.

Lỗ hổng hàm làm tròn và sự kết hợp chết người của BatchSwaps

(Nguồn: X)

Vào đầu tuần, Balancer đã gặp phải một cuộc tấn công mã độc phức tạp, ảnh hưởng đến các pool ổn định v2 và Composable ổn v5, trong khi các loại pool khác không bị ảnh hưởng. Việc hacker nhắm mục tiêu chính xác này cho thấy họ có hiểu biết sâu về mã nguồn của Balancer, có thể nhận diện các lỗ hổng trong các pool nhất định và tránh các pool có độ an toàn cao hơn.

Hacker đã kết hợp sử dụng BatchSwaps (cho phép người dùng gộp nhiều thao tác trong một giao dịch, bao gồm cả flash loan — vay ngắn hạn trong cùng một giao dịch để vay và hoàn trả) cùng khai thác các hàm làm tròn trong các pool ổn định, đặc biệt là trong các phép đổi EXACT_OUT. Sự kết hợp này là yếu tố then chốt làm nên độ phức tạp của cuộc tấn công.

Hàm làm tròn trong hệ thống tài chính là một chi tiết kỹ thuật nhỏ nhưng cực kỳ quan trọng. Chức năng này nhằm làm tròn xuống giá token khi tính toán, nhằm tránh mất độ chính xác gây ra lỗi tính toán. Tuy nhiên, hacker đã chỉnh sửa các giá trị làm tròn này và kết hợp với chức năng batch swaps để trộm cắp tài sản từ các pool stablecoin. Đội ngũ Balancer cho biết: “Trong nhiều trường hợp, số tiền bị đánh cắp sẽ được giữ trong kho bạc dưới dạng số dư nội bộ, rồi sau đó được rút ra qua các giao dịch tiếp theo.”

Điểm tinh vi của phương pháp tấn công này nằm ở việc tận dụng hiệu ứng tích lũy của các sai lệch nhỏ trong làm tròn. Trong một giao dịch, sai lệch làm tròn có thể chỉ vài phần trăm cent, gần như không đáng kể. Nhưng khi hacker dùng BatchSwaps để gộp hàng nghìn hoặc hàng vạn giao dịch nhỏ, các sai lệch này tích lũy thành số tiền lớn. Việc sử dụng flash loans còn giúp tăng cường hiệu ứng này, vì nó cho phép hacker vay lớn mà không cần vốn ban đầu, thực hiện các hoạt động arbitrage, hoàn trả vay và lấy lợi nhuận trong cùng một giao dịch.

Phân tích kỹ thuật của cuộc tấn công

BatchSwaps kết hợp tấn công: Gộp hàng nghìn thao tác nhỏ thành một giao dịch, tích lũy sai lệch làm tròn thành số tiền lớn

Tăng cường đòn bẩy bằng flash loans: Không cần vốn ban đầu, mở rộng quy mô tấn công hàng trăm lần

Lỗ hổng EXACT_OUT: Tấn công vào điểm yếu của hàm làm tròn trong các phép đổi nhất định, vượt qua các kiểm tra an toàn khác một cách chính xác

Về mặt kỹ thuật, cuộc tấn công này đã phơi bày rủi ro hệ thống trong xử lý số liệu chính xác của các hợp đồng thông minh. Các hợp đồng cần cân bằng giữa hiệu suất tính toán và độ chính xác của số liệu, nhưng sự mất cân bằng này chính là điểm yếu mà hacker khai thác. Thiết kế hàm làm tròn của Balancer hoạt động tốt trong điều kiện bình thường, nhưng dưới các thao tác quy mô lớn hoặc trong các giao dịch batch, lỗ hổng mới lộ diện.

Danh tính hacker và quá trình chuẩn bị tấn công

Những hacker này có khả năng kỹ thuật cao và đã chuẩn bị trước nhiều tháng, sử dụng các khoản gửi Tornado Cash trị giá 0,1 ETH để tài trợ cho hoạt động tấn công nhằm tránh bị phát hiện. Tornado Cash là dịch vụ trộn tiền mã hóa, giúp che giấu dòng tiền bằng cách phá vỡ chuỗi theo dõi trên chuỗi, nên thường được các tội phạm mạng ưa chuộng.

Việc gửi nhỏ lẻ 0,1 ETH là một chiến lược chống truy vết điển hình. Hacker không chuyển một khoản lớn một lần (dễ gây cảnh báo), mà phân nhỏ thành hàng trăm hoặc hàng nghìn giao dịch nhỏ. Chiến thuật này gọi là “phân tán bụi” (dusting), khiến việc theo dõi nguồn gốc vốn trở nên cực kỳ khó khăn, ngay cả các công ty phân tích blockchain chuyên nghiệp cũng khó tái dựng toàn bộ dòng tiền.

Việc chuẩn bị kéo dài nhiều tháng cho thấy đây không phải là cuộc tấn công ngẫu nhiên, mà là một hành động có chủ đích, được lên kế hoạch kỹ lưỡng. Hacker có thể đã dành thời gian nghiên cứu mã nguồn của Balancer, thử nghiệm các vector tấn công, mô phỏng tấn công trong môi trường riêng, và thiết kế lộ trình rút tiền. Mức độ chuẩn bị này đòi hỏi kỹ năng cao, kiến thức sâu về DeFi, cùng khả năng phân tích và theo dõi chuỗi.

Theo CEO của công ty an ninh blockchain Cyvers, Deddy Lavid, cuộc tấn công này là một trong những “phức tạp nhất” từ đầu năm 2025. Cyvers chuyên theo dõi các giao dịch blockchain và phát hiện hoạt động bất thường, nên đánh giá này có trọng lượng lớn. “Phức tạp nhất” nghĩa là cuộc tấn công này đạt đến mức độ sáng tạo về công nghệ, độ bí mật và chính xác trong thực thi cao hơn nhiều so với các vụ tấn công trước.

Cuộc tấn công này nhắc nhở chúng ta rằng các ví nóng, pool thanh khoản và dòng vốn trên chuỗi dễ bị tấn công bởi các mối đe dọa an ninh mạng ngày càng tinh vi. Dù mã nguồn mở của DeFi mang lại tính minh bạch và khả năng kiểm tra, nhưng cũng đồng nghĩa với việc bất kỳ ai cũng có thể nghiên cứu và tìm ra lỗ hổng. Đây là con dao hai lưỡi, đòi hỏi các nhà phát triển phải giả định rằng hacker có thể sở hữu khả năng kỹ thuật ngang hoặc vượt xa cả người phòng thủ.

Tiến trình thu hồi và hợp tác cộng đồng

(Nguồn: X)

Balancer đã phối hợp với các đối tác an ninh mạng và các dự án DeFi để thu hồi hoặc phong tỏa một phần số tiền bị đánh cắp, gồm khoảng 19 triệu USD trong 5041 ETH stake của StakeWise (osETH) và khoảng 2 triệu USD trong 13495 osGNO token. Tổng cộng khoảng 21 triệu USD, chiếm khoảng 18% tổng số tiền bị mất. Dù chưa thể khắc phục hoàn toàn thiệt hại, nhưng đây là một thành công tương đối trong các vụ tấn công DeFi.

Khả năng thu hồi hoặc phong tỏa tài sản thể hiện tầm quan trọng của hợp tác trong hệ sinh thái mã hóa. Các token như osETH và osGNO là của các dự án riêng, và nhóm phát triển có thể xác định và phong tỏa các địa chỉ đáng ngờ. Cơ chế hợp tác này đặc biệt quý giá trong môi trường phi tập trung, nơi không có tổ chức trung ương nào có thể bắt buộc phong tỏa. Thay vào đó, các giao thức phải tự nguyện hợp tác, chia sẻ thông tin và phối hợp hành động.

Nhóm đã tạm dừng tất cả các pool bị ảnh hưởng và vô hiệu hóa các pool mới dễ bị tấn công cho đến khi vấn đề an toàn được giải quyết. Đây là quyết định đau đớn nhưng cần thiết. Việc tạm dừng đồng nghĩa với việc người dùng hợp pháp tạm thời không thể truy cập dịch vụ, ảnh hưởng đến trải nghiệm và uy tín của dự án. Tuy nhiên, để tránh rủi ro lớn hơn từ các pool có lỗ hổng, tạm dừng là lựa chọn trách nhiệm.

Balancer đã đề xuất thưởng 20% cho các hacker đạo đức hoặc tội phạm để thu hồi tiền bị đánh cắp, nhưng đến thời điểm viết bài, chưa ai nhận thưởng. Tỷ lệ thưởng 20% tương đương khoảng 23 triệu USD, là một khoản thưởng lớn. Tuy nhiên, lý do hacker chưa nhận thưởng có thể gồm:

• Họ không muốn tiết lộ danh tính, dù để nhận thưởng, vì sợ bị pháp luật hoặc các cơ quan thực thi pháp luật truy bắt.
• Họ nghĩ rằng có thể thành công rửa tiền và rút toàn bộ số tiền, nên không muốn chỉ nhận 20%.
• Đây có thể là một nhóm tội phạm có tổ chức hoặc được nhà nước hậu thuẫn, coi trọng danh tiếng hơn tiền bạc.

Tổng kết các biện pháp ứng phó của Balancer

Phản ứng nhanh: Ngay sau phát hiện tấn công, tạm dừng các pool bị ảnh hưởng để ngăn chặn thiệt hại thêm

Hợp tác cộng đồng: Phối hợp với StakeWise, Gnosis để phong tỏa token bị đánh cắp

Minh bạch thông tin: Công bố báo cáo sơ bộ, giải thích nguyên nhân tấn công và các biện pháp xử lý

Khuyến khích tài chính: Đề xuất thưởng 20% để thu hồi tài sản, dù chưa có ai phản hồi

Vụ tấn công của hacker vào Balancer lần này một lần nữa nhấn mạnh tính dễ tổn thương của bảo mật DeFi và tầm quan trọng của các cuộc kiểm toán.