Giao thức DeFi Balancer xác nhận kẻ tấn công đã khai thác lỗi hàm làm tròn kết hợp flashloan để chiếm đoạt 116 triệu USD từ các pool thanh khoản.
Đội ngũ phát triển giao thức tài chính phi tập trung Balancer đã công bố báo cáo điều tra sơ bộ vào hôm thứ Tư, làm rõ cơ chế kỹ thuật đằng sau vụ tấn công nghiêm trọng khiến 116 triệu USD bị chiếm đoạt. Theo Deddy Lavid, Giám đốc điều hành công ty an ninh blockchain Cyvers, đây là một trong những cuộc tấn công tinh vi nhất năm 2025.
Vụ tấn công xảy ra vào thứ Hai, nhắm vào các pool Stable v2 và Composable Stable v5 của Balancer, trong khi các loại pool khác không bị ảnh hưởng. Kẻ tấn công đã sử dụng tính năng BatchSwaps cho phép gộp nhiều hành động vào cùng một giao dịch, kết hợp với flashloan để khai thác lỗ hổng trong hàm làm tròn của giao thức.
Cụ thể, lỗ hổng nằm ở hàm xử lý EXACT_OUT swaps trong các Stable Pool. Mặc dù hàm làm tròn được thiết kế để làm tròn xuống khi giá token là biến đầu vào, kẻ tấn công đã thao túng được các giá trị làm tròn này. Khi kết hợp với cơ chế BatchSwap, hacker đã có thể rút cạn tài sản trong các pool thanh khoản. Đội ngũ Balancer cho biết trong nhiều trường hợp, số tiền bị khai thác vẫn tồn tại trong Vault dưới dạng số dư nội bộ trước khi được chuyển ra qua các giao dịch tiếp theo.
Nỗ lực thu hồi và biện pháp khẩn cấp
Theo các báo cáo trước đó, kẻ tấn công được cho là nhóm chuyên nghiệp đã chuẩn bị trong nhiều tháng, sử dụng các khoản nạp 0,1 Ether qua Tornado Cash để che giấu dấu vết và tránh bị theo dõi trước khi thực hiện cuộc tấn công. Sau sự cố, Balancer đã phối hợp với các đối tác an ninh mạng và giao thức blockchain khác để thu hồi hoặc phong tỏa một phần tài sản, bao gồm 5.041 StakeWise Staked ETH trị giá khoảng 19 triệu USD và 13.495 osGNO trị giá khoảng 2 triệu USD.
Balancer đã ngay lập tức tạm dừng toàn bộ các pool bị ảnh hưởng và ngừng tạo mới các pool có nguy cơ tương tự cho đến khi khắc phục hoàn toàn vấn đề bảo mật. Giao thức cũng đề nghị khoản thưởng “mũ trắng” trị giá 20% tổng số tiền cho bất kỳ ai hoàn trả tài sản bị đánh cắp, dù là hacker đạo đức hay chính kẻ tấn công. Tuy nhiên, tính đến thời điểm hiện tại, đề nghị này vẫn chưa nhận được phản hồi.
