Từ Balancer đến Berachain: Khi blockchain tạm dừng vận hành

Lĩnh vực DeFi tiếp tục trở thành tâm điểm chú ý.

Ngày 03 tháng 11 (UTC), nhiều dự án ứng dụng kiến trúc Balancer V2 đã bị tấn công tinh vi, tổng thiệt hại vượt 120 triệu USD. Sự cố này ảnh hưởng đến Ethereum mainnet, Arbitrum, Sonic, Berachain và các chuỗi khác, được xem là một trong những vụ tấn công nghiêm trọng nhất kể từ các sự kiện với Euler Finance và Curve Finance.

BlockSec cho biết đây là “cuộc tấn công thao túng giá có độ phức tạp cao.” Kẻ tấn công đã chỉnh sửa cách tính giá BPT (Balancer Pool Token), lợi dụng lỗi làm tròn bất biến để bóp méo giá, liên tục thực hiện arbitrage trong một batch swap.

Thí dụ, vụ tấn công trên Arbitrum diễn ra qua ba bước:

• Kẻ tấn công đổi BPT sang tài sản cơ sở, điều chỉnh chính xác số dư cbETH về ngưỡng làm tròn (khoảng 9 đơn vị), tạo tiền đề mất chính xác ở các bước sau;
• Tiếp theo, họ trao đổi một lượng cụ thể (=8 đơn vị) giữa wstETH và cbETH. Làm tròn xuống khi scale khiến Δx giảm nhẹ, dẫn đến Δy bị định giá thấp và bất biến D của pool giảm, từ đó giá lý thuyết BPT bị đẩy xuống;
• Cuối cùng, kẻ tấn công đảo chiều, chuyển tài sản cơ sở về lại BPT và hưởng lợi từ giá thấp bị thao túng.

Đây là kiểu khai thác độ chính xác ở giao điểm giữa toán học và mã nguồn.

Balancer xác nhận lỗ hổng xảy ra ở V2 Composable Stable Pools. Đội ngũ đang phối hợp chuyên gia bảo mật để điều tra và cam kết công bố báo cáo chi tiết. Các pool bị ảnh hưởng có chức năng tạm dừng đều đã bị đóng băng và tiến hành phục hồi. Lỗ hổng chỉ liên quan đến V2 Composable Stable Pools, không ảnh hưởng Balancer V3 hay các loại pool khác.

Sau vụ việc ở Balancer V2, những dự án fork kiến trúc này cũng bị ảnh hưởng mạnh. Theo DeFiLlama, đến ngày 04 tháng 11 (UTC), tổng giá trị khóa ở các dự án liên quan giảm còn khoảng 49,34 triệu USD. Tức giảm 22,88% chỉ trong một ngày. BEX, DEX gốc của Berachain, TVL giảm 26,4% còn 40,27 triệu USD, chiếm 81,6% hệ sinh thái. Dòng vốn tiếp tục bị rút do chain gián đoạn và thanh khoản bị đóng băng. Beets DEX giảm sâu hơn nữa, TVL mất 75,85% trong 24 giờ và gần 79% trong một tuần.

Nhiều DEX xây dựng trên Balancer cũng chứng kiến rút vốn ồ ạt: PHUX giảm 26,8% trong ngày, Jellyverse mất 15,5%, Gaming DEX giảm 89,3%, gần như cạn kiệt thanh khoản. Các nền tảng vừa và nhỏ như KLEX Finance, Value Liquid, Sobal—dù không bị ảnh hưởng trực tiếp—cũng ghi nhận dòng vốn rút từ 5% đến 20%.

Phản Ứng Chuỗi: Berachain Thực Hiện Hard Fork Khẩn Cấp

Lỗ hổng Balancer V2 nhanh chóng tạo ra phản ứng dây chuyền trên nhiều hệ thống.

Berachain, blockchain công khai mới dùng Cosmos SDK, bị tấn công chỉ vài giờ sau khi BEX cũng triển khai hợp đồng Balancer V2. Phát hiện bất thường, quỹ lập tức thông báo dừng toàn bộ chain.

Kẻ tấn công chiếm đoạt tài sản tại Tripool USDe của BEX và các pool thanh khoản khác, tổng thiệt hại khoảng 12 triệu USD. Họ khai thác lỗi logic tương tự Balancer, thao tác nhiều hợp đồng thông minh để rút tiền. Một số tài sản là token không gốc chain, buộc đội ngũ phải hard fork để khôi phục block và phục hồi, đồng thời phục vụ kiểm soát và giám sát tài sản.

Nhiều giao thức thuộc hệ sinh thái Berachain—Ethena, Relay, HONEY—cũng triển khai các biện pháp phòng thủ:

• Cấm chuyển USDe qua các chain khác;
• Tạm ngừng gửi tài sản vào thị trường cho vay;
• Dừng tạo mới và hoán đổi HONEY;
• Thông báo các sàn tập trung chặn địa chỉ đáng ngờ.

Quỹ Berachain cho biết việc dừng mạng là chủ động và sẽ khôi phục sớm. Vụ khai thác Balancer chủ yếu ảnh hưởng tới các pool Ethena/Honey qua các giao dịch hợp đồng thông minh phức tạp. Do tài sản bị ảnh hưởng không chỉ là BERA, quá trình khôi phục block và phục hồi cần nhiều hơn một hard fork đơn giản, nên mạng phải tạm dừng để giải quyết toàn diện.

Ngày 04 tháng 11 (UTC), Quỹ Berachain cho biết đã phát hành hard fork bản nhị phân, một số node xác thực đã nâng cấp. Trước khi tái khởi động và sinh block mới, họ sẽ kiểm tra các đối tác hạ tầng quan trọng (như oracle hỗ trợ thanh lý) đã cập nhật endpoint RPC. Đây là trở ngại chính để khôi phục hoạt động on-chain. Khi RPC cốt lõi đã sẵn sàng, đội ngũ sẽ phối hợp với các cầu nối cross-chain, đối tác CEX và đơn vị lưu ký để tiếp tục vận hành.

Trong thời gian này, một bot khai thác MEV của Berachain liên hệ quỹ sau khi chain bị dừng, khẳng định đã “white-hat” thu hồi tài sản và gửi thông điệp on-chain, đề nghị ký trước giao dịch hoàn trả khi chain hoạt động lại.

An Ninh Hay Phi Tập Trung?

“Chúng tôi biết điều này gây tranh cãi, nhưng khi khoảng 12 triệu USD tài sản người dùng bị đe dọa, bảo vệ người dùng là lựa chọn duy nhất,” đồng sáng lập Berachain Smokey The Bera đáp lại lo ngại về tập trung hóa.

Ông xác nhận Berachain chưa đạt mức phi tập trung như Ethereum, và phối hợp validator vận hành giống “trung tâm chỉ huy khủng hoảng” hơn là mạng đồng thuận tự động. Thực tế, các node on-chain bị dừng chỉ sau một giờ phát hiện lỗ hổng, cho thấy hiệu quả tập trung nhưng cũng bộc lộ tính tập trung trong cấu trúc quản trị.

Phản ứng cộng đồng chia thành hai luồng rõ rệt.

Phe ủng hộ cho rằng đội ngũ đã thể hiện cam kết bảo vệ người dùng—một kiểu “phi tập trung thực dụng.” Phe chỉ trích cho rằng cách này vi phạm nguyên tắc “Code is Law” và làm yếu đi tính không thể đảo ngược của giao dịch on-chain.

Nhà điều tra on-chain ZachXBT nhận xét: “Khi tài sản người dùng gặp nguy cơ lớn, quyết định này tuy khó nhưng là đúng.”

Dù vậy, một số developer thẳng thắn: “Nếu blockchain có thể bị dừng bất cứ lúc nào, nó có gì khác với tài chính truyền thống?”

Bóng Đen Vụ Hack DAO Quay Trở Lại

Khủng hoảng này gợi nhớ lại vụ hack DAO trên Ethereum năm 2016, khi Ethereum rollback giao dịch qua hard fork để thu hồi 50 triệu USD bị đánh cắp. Sự kiện này đã chia cộng đồng thành Ethereum (ETH) và Ethereum Classic (ETC).

Chín năm sau, một tình thế tương tự lại xuất hiện.

Lần này, đối tượng là blockchain mới, chưa có mức phi tập trung sâu hay đồng thuận toàn cầu.

Berachain can thiệp có thể giảm tổn thất, nhưng lại khơi lại tranh luận về tính tự trị của blockchain.

Ở một góc độ khác, sự kiện này phản chiếu hiện thực DeFi: An ninh, hiệu quả, phi tập trung. Cân bằng tuyệt đối chưa từng đạt được.

Khi hacker đánh cắp hàng chục triệu USD chỉ trong giây lát, chủ nghĩa lý tưởng thường nhường chỗ cho thực tế.

Đội ngũ Balancer phối hợp chuyên gia bảo mật, sẽ công bố báo cáo sau sự cố. Đồng thời, họ cảnh báo người dùng về thông điệp lừa đảo giả mạo.

Berachain dự kiến sẽ từng bước khôi phục sản xuất block, chức năng giao dịch sau hard fork.

Tuy nhiên, khôi phục niềm tin người dùng khó hơn sửa mã nguồn. Với bất kỳ blockchain mới nào, việc dừng mạng có thể là giải pháp ngắn hạn nhưng để lại hệ lụy dài hạn. Người dùng có thể nghi ngờ tính phi tập trung, còn developer lo ngại khả năng bất biến của blockchain.

DeFi có thể đang tái định nghĩa phi tập trung—không phải hoàn toàn tự do, mà là mức đồng thuận tối thiểu đạt được khi xảy ra khủng hoảng.

Thông Báo:

1. Bài viết này được đăng lại từ [Foresight News] và bản quyền thuộc về tác giả gốc [ChandlerZ, Foresight News]. Nếu có vấn đề liên quan đến bài đăng lại, vui lòng liên hệ đội ngũ Gate Learn để được xử lý theo quy trình.
2. Miễn trừ trách nhiệm: Quan điểm và ý kiến trong bài viết này hoàn toàn thuộc về tác giả, không phải khuyến nghị đầu tư.
3. Các phiên bản ngôn ngữ khác do đội ngũ Gate Learn dịch. Trừ khi Gate được dẫn nguồn rõ ràng, nghiêm cấm sao chép, phân phối hoặc đạo văn các bài dịch.