Balancer bị tấn công 128,64 triệu đô la trong một trong những cuộc tấn công DeFi tiên tiến nhất năm 2025

Trong một trong những cuộc tấn công DeFi phức tạp nhất năm 2025, giao thức Balancer đã mất hơn $128 triệu vào ngày 3 tháng 11 năm 2025, khi các hacker đã khai thác một lỗ hổng ẩn trong các Bể ổn định v2 của nó.

Cuộc tấn công nhằm vào cơ chế làm tròn của chức năng “upscale” cho các giao dịch EXACT_OUT, cho phép làm tròn lên không hợp lệ thông qua các đầu vào bị thao túng và các giao dịch gộp lại đã rút cạn quỹ nhiều lần trong một khối.

Tổ chức tự trị phi tập trung Balancer hiện đã giới thiệu một đề xuất quản trị chính thức để phân phối 27,7 triệu đô la tài sản đã được khôi phục cho người dùng bị ảnh hưởng trong vụ hack ngày 3 tháng 11.

WETH, osETH, và wstETH là một số tài sản đã bị rút ra trên nhiều chuỗi: Ethereum, nơi chịu tổn thất lớn nhất với $99 triệu, cùng với các tổn thất bổ sung trên Arbitrum, Base, Berachain, Optimism, Polygon, và Sonic.

Mặc dù đã có mười một cuộc kiểm toán được thực hiện bởi bốn công ty bảo mật khác nhau, lỗ hổng vẫn không được phát hiện cho đến khi vụ khai thác xảy ra. Giám đốc điều hành Cyvers, Deddy Lavid, mô tả hoạt động này là “một trong những cuộc tấn công tinh vi nhất của năm,” dẫn chứng bằng chứng rằng kẻ tấn công đã chuẩn bị trong nhiều tháng và sau đó rửa tiền thông qua Tornado Cash.

Sau cuộc tấn công, Balancer đã đóng băng các pool bị ảnh hưởng để ngăn chặn tổn thất thêm và đã phát hành một báo cáo sơ bộ ngay sau đó, xác nhận nguyên nhân gốc rễ và đưa ra cảnh báo về các rủi ro đang diễn ra đối với ví nóng và sự tiếp xúc với thanh khoản trên chuỗi. Sự cố đã ảnh hưởng đến hàng ngàn nhà cung cấp thanh khoản và toàn bộ thị trường, tiếp theo là một sự sụt giảm tạm thời ở các token không liên quan như SUI.

Cách Balancer dự định trả lại 27.7 triệu đô la chỉ cho các nạn nhân trực tiếp

Ba tuần sau khi xảy ra sự cố, Balancer DAO đã đưa ra một đề xuất quản trị để trả lại các khoản tiền đã được phục hồi cho các nạn nhân của cuộc tấn công mà không phân chia thiệt hại cho toàn bộ giao thức.

Kế hoạch, được đăng trên diễn đàn quản trị vào ngày 27 tháng 11 năm 2025, sẽ theo hai dòng phục hồi khác nhau.

Một $8 triệu tranche được phục hồi thông qua các can thiệp của những người bảo vệ và nỗ lực nội bộ sẽ được phân phối tỷ lệ cho các chủ sở hữu Balancer Pool Token (BPT) trong các pool bị ảnh hưởng trực tiếp, được thanh toán bằng các tài sản bị đánh cắp ban đầu. Một tranche riêng biệt trị giá $19.7 triệu được phục hồi bởi đối tác liquid-staking StakeWise, chủ yếu là osETH và osGNO, sẽ được StakeWise chuyển tiếp độc lập cho các người dùng bị ảnh hưởng.

Số tiền kết hợp 27,7 triệu đô la đại diện cho khoảng 22% tổng số khoản lỗ. Việc phân phối sẽ hoàn toàn không xã hội hóa, chỉ giới hạn cho các nhà cung cấp thanh khoản đã nắm giữ vị trí BPT trong các pool bị khai thác tại thời điểm cuộc tấn công, và sẽ yêu cầu chấp nhận các điều khoản dịch vụ đã được cập nhật.

Đề xuất hiện đang trong giai đoạn thảo luận cộng đồng trước khi tiến hành bỏ phiếu DAO trên chuỗi. Nếu được phê duyệt, một cổng yêu cầu dự kiến sẽ ra mắt trong vài tuần.

Phản ứng của cộng đồng vẫn còn chia rẽ; một số thành viên vẫn lạc quan, trong khi những người khác chỉ trích quyết định này. Một số nhà cung cấp thanh khoản đã khen ngợi cách tiếp cận có mục tiêu như một cử chỉ “cộng đồng trước tiên” ưu tiên cho các nạn nhân trực tiếp hơn là cứu trợ rộng rãi, trong khi những người khác cho rằng việc phục hồi một phần có một số thiếu sót trong hiệu quả kiểm toán và quản lý rủi ro DeFi tổng thể.

Bài viết này được xuất bản lần đầu tiên với tiêu đề Balancer bị hack 128,64 triệu đô la trong một trong những vụ hack DeFi tiên tiến nhất năm 2025 trên Crypto Breaking News – nguồn tin cậy của bạn cho tin tức tiền điện tử, tin tức Bitcoin và cập nhật blockchain.