Balancer đối mặt vụ exploit lớn nhất năm, nghi mất gần 100 triệu USD

Hàng loạt tài sản bị rút khỏi pool Balancer

Theo dữ liệu từ các nền tảng phân tích blockchain như Lookonchain và Nansen, kẻ tấn công đã rút khoảng 70,6 triệu USD tài sản khỏi các pool thanh khoản của Balancer chỉ trong vài giao dịch đầu tiên. Cụ thể, số tài sản bị đánh cắp bao gồm:

6.851 osETH (≈26,86 triệu USD),
6.587 WETH (≈24,46 triệu USD),
4.260 wstETH (≈19,27 triệu USD).

Các giao dịch này được ghi nhận trên block 23.717.404.120, và địa chỉ ví mới nhận tài sản được cho là ví của hacker. Chỉ vài giờ sau, đến 9:13 UTC, tổng giá trị tài sản bị chiếm đoạt tăng gần 100 triệu USD, khi hacker tiếp tục chuyển thêm rsETH, sfrxETH, sUSDE, USDC và nhiều token khác vào ví.

The protocol @Balancer appears to have been exploited — about $70.6M in assets was transferred out, including:

6,587 $WETH($24.46 M)
6,851 $osETH($26.86 M)
4,260 $wstETH(~$19.27 M)https://t.co/oH4OuWSSbR pic.twitter.com/SUHwwGzI47
— Lookonchain (@lookonchain) November 3, 2025

Đội ngũ Balancer lên tiếng và treo thưởng “white-hat bounty”

Ngay sau khi phát hiện sự cố, nhóm bảo mật của Balancer đã phát đi thông báo xác nhận đang điều tra vụ việc, đồng thời đưa ra đề nghị “bounty” 20% nếu hacker hoàn trả lại số tiền còn lại.

Tuy nhiên, đến thời điểm hiện tại, Balancer vẫn chưa đưa ra tuyên bố chính thức về nguyên nhân hoặc lỗ hổng cụ thể, khiến cộng đồng DeFi tiếp tục đặt câu hỏi liệu đây có thực sự là một vụ exploit hay chỉ là chuỗi giao dịch nội bộ.

Dấu hiệu về một lỗ hổng kỹ thuật tồn tại lâu dài

Theo các nhà phân tích từ SlowMist, vụ tấn công lần này có thể liên quan đến vấn đề thao túng tỷ giá trong boosted pool – một cơ chế từng bị cảnh báo từ năm 2023. Cụ thể, hacker có thể đã lợi dụng chênh lệch tỉ giá gần 1:1 giữa các tài sản như USDC và bb-a-USDC, qua đó tạo điều kiện cho việc rút thanh khoản bất thường.

Ngoài ra, công ty an ninh Cyvers cũng phát hiện hơn 84 triệu USD giao dịch đáng ngờ trên nhiều chain có liên quan tới Balancer, cho thấy khả năng đây là một cuộc tấn công phức tạp đa chuỗi chứ không đơn thuần là lỗi trên Ethereum.

Lịch sử các vụ tấn công Balancer

Đây không phải là lần đầu tiên Balancer trở thành mục tiêu của hacker.

Năm 2020, giao thức bị tấn công flash loan, mất 500.000 USD.
Tháng 8/2023, một lỗ hổng bảo mật khác khiến dự án thiệt hại gần 1 triệu USD.
Tháng 9/2023, Balancer tiếp tục hứng chịu tấn công DNS, khiến người dùng bị chuyển hướng tới trang phishing và mất 238.000 USD.

Chuỗi sự cố liên tiếp này cho thấy vấn đề bảo mật trong DeFi vẫn chưa được giải quyết triệt để, dù các dự án đã chi hàng triệu USD cho kiểm toán và bug bounty.

Theo thống kê từ Forbes, chỉ riêng trong năm 2025, tổng giá trị tài sản crypto bị đánh cắp đã vượt 3 tỷ USD, với nhiều vụ tấn công tinh vi nhắm vào các giao thức lớn như Balancer, Curve, và Moby. Giới chuyên gia cho rằng vụ việc lần này là lời cảnh báo mạnh mẽ về sự cần thiết của cơ chế phản ứng nhanh, giám sát onchain và bảo mật đa lớp trong hệ sinh thái DeFi.

Kết luận

Vụ việc nghi ngờ exploit gần 100 triệu USD của Balancer không chỉ gióng lên hồi chuông cảnh báo về rủi ro bảo mật DeFi, mà còn đặt ra câu hỏi lớn cho cả ngành: liệu sự đổi mới và tốc độ phát triển có đang vượt quá khả năng bảo vệ của chính hệ thống? Khi DeFi hướng đến giai đoạn trưởng thành, an toàn onchain dường như vẫn là thách thức chưa có lời giải cuối cùng.

Đọc thêm: