Balancer DeFi bị tấn công và mất hơn 110 triệu đô la Mỹ tài sản.

• Lỗ hổng trong hợp đồng thông minh đã rút cạn các vault V2 của Balancer.
• Thiệt hại vượt quá 110 triệu đô la Mỹ trên nhiều blockchain khác nhau.
• Các kiểm toán viên đang điều tra vụ tấn công khai thác thiết kế compostable của giao thức.

Balancer lại tiếp tục chịu một cuộc tấn công nghiêm trọng khác, với tổng thiệt hại ước tính từ 110 triệu đến 116 triệu đô la Mỹ trên nhiều blockchain khác nhau. Sự cố này chủ yếu ảnh hưởng đến các vault V2 và pool thanh khoản của giao thức, khai thác một lỗ hổng trong các tương tác hợp đồng thông minh.

Theo phân tích on-chain được công bố bởi các chuyên gia, bao gồm nhà phân tích Adi (@AdiFlips), cuộc tấn công bắt đầu bằng việc triển khai một hợp đồng độc hại thao túng các lệnh gọi nội bộ của Vault trong quá trình khởi tạo pool. Sự thao túng này cho phép kẻ tấn công vượt qua các cơ chế bảo mật và thực hiện các giao dịch trái phép giữa các pool liên kết, rút cạn tiền chỉ trong vài phút.

Đây là tất cả những gì bạn cần biết về vụ hack Balancer:

1. Cuộc tấn công nhắm vào các vault V2 và pool thanh khoản của Balancer, khai thác một lỗ hổng trong các tương tác hợp đồng thông minh. Phân tích sơ bộ từ các nhà điều tra on-chain chỉ ra một hợp đồng được triển khai độc hại đã… pic.twitter.com/udAM4hB0OD

— Adi (@AdiFlips) November 3, 2025

Phương thức tấn công liên quan đến các lỗi ủy quyền và xử lý callback không chính xác, tạo ra các lỗ hổng cho việc thao túng số dư và hoán đổi dây chuyền. Một giao dịch quan trọng trên mạng Ethereum—được xác định là 0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569—đã chuyển tài sản đến một ví mới do kẻ tấn công kiểm soát. Số tiền này sau đó được hợp nhất và có thể đã được chuyển qua các dịch vụ trộn hoặc cầu nối cross-chain, khiến việc truy vết trở nên khó khăn.

Kiến trúc compostable của Balancer, trong đó các pool tương tác mạnh mẽ với nhau, đã làm gia tăng mức độ nghiêm trọng của lỗ hổng. Các cuộc tấn công tương tự cũng đã xảy ra với các automated market maker (AMM) khác, đặc biệt khi liên quan đến token giảm phát hoặc cơ chế cân bằng lại pool.

Các kiểm toán viên như PeckShield và Nansen đang tiến hành điều tra pháp y chi tiết và đã xác nhận rằng vụ tấn công hoàn toàn mang tính kỹ thuật, không có bằng chứng về việc lộ khóa riêng tư. Thiệt hại bao gồm lượng lớn WETH, wstETH, osETH, frxETH, rsETH và rETH — trong đó Ethereum bị ảnh hưởng nặng nề nhất với khoảng 70 triệu đô la Mỹ bị rút cạn.

Tác động cũng lan rộng đến các mạng Base, Sonic và Polygon, với tổng thiệt hại bổ sung khoảng 9 triệu đô la Mỹ. Các giao thức phát sinh như Beets.fi và Berachain cũng bị ảnh hưởng do sử dụng các thành phần mã nguồn tương tự.

Token BAL đã giảm từ 5% đến 8% sau khi vụ tấn công được xác nhận. Cho đến nay, Balancer vẫn chưa công bố chi tiết về các biện pháp khắc phục hoặc khả năng bồi thường cho người dùng, trong khi các khuyến nghị khẩn cấp bao gồm rút tiền ngay lập tức, thu hồi quyền truy cập và giám sát tích cực các ví bị ảnh hưởng.