Balancer Bị Tấn Công Khi $128M Được Di Chuyển Từ Kho

2025-11-04 14:14:10

Tài chính phi tập trung (DeFi) giao thức Balancer đã mất $128 triệu sau khi bị tấn công độc hại. Dữ liệu trên chuỗi cho thấy hơn $128 triệu tài sản đã được rút khỏi kho bạc của giao thức.

Các khoản tiền bị đánh cắp bao gồm osETH, WETH và wstETH, với kẻ khai thác đang hợp nhất các tài sản bị đánh cắp, gây lo ngại về việc rửa tiền.

Balancer Bị Tấn Công

Balancer, một giao thức DeFi nổi bật, đã bị tấn công lớn, với dữ liệu trên chuỗi cho thấy rằng hơn ( triệu tài sản đã được chuyển đến một ví mới. Theo dữ liệu blockchain, số tiền bị đánh cắp bao gồm 6,850 osETH, 6,590 WETH và 4,260 wstETH, với vụ hack ảnh hưởng đến các kho trên Balancer v2. Các kho v2 của giao thức hoạt động như động cơ thanh khoản trung tâm của nó, tổng hợp các mã thông báo và tạo điều kiện cho việc giao dịch giữa các pool thanh khoản. Nhóm Balancer đã xác nhận vụ hack trên X, nói rằng,

“Chúng tôi nhận thức được một lỗ hổng tiềm ẩn ảnh hưởng đến các bể Balancer v2. Các đội ngũ kỹ thuật và an ninh của chúng tôi đang điều tra với ưu tiên cao. Chúng tôi sẽ chia sẻ các cập nhật đã được xác minh và các bước tiếp theo ngay khi có thêm thông tin.”

Các kho bạc trên Sonic, Polygon và Base cũng đã bị ảnh hưởng.

Mikko Ohtamaa, đồng sáng lập và CEO của Trading Strategy, đã lưu ý rằng phân tích sơ bộ về cuộc tấn công cho thấy một hợp đồng thông minh bị lỗi là nguyên nhân chính của cuộc tấn công. Ông thêm rằng mặc dù không phải tất cả các phiên bản Balancer đều bị ảnh hưởng, nhưng thiệt hại có thể cao hơn nếu các nhánh v2 cũ hơn chia sẻ cùng một lỗ hổng mà kẻ tấn công đã sử dụng. Công ty an ninh PeckShield cho biết cuộc tấn công vẫn đang diễn ra trên nhiều chuỗi mà Balancer được triển khai.

Cách cuộc tấn công diễn ra

Theo công ty bảo mật Decurity, cuộc tấn công xảy ra do một lỗi kiểm soát quyền truy cập trong chức năng “manageUserBalance” của Balancer. Lỗ hổng nằm trong ValidateUserBalanceOp, kiểm tra msg.sender với một op.sender do người dùng cung cấp, một lỗi logic cho phép rút tiền trái phép thông qua hoạt động UserBalanceOpKind.WITHDRAW_INTERNAL.

Nói đơn giản hơn, lỗ hổng cho phép các kẻ tấn công kích hoạt việc rút tiền nội bộ từ các hợp đồng thông minh của Balancer mà không cần quyền hạn cần thiết.

“manageUserBalance trong Balancer có một kiểm tra truy cập lỗi. Trong _validateUserBalanceOp, nó kiểm tra msg.sender với op.sender do người dùng cung cấp. Điều này cho phép thực hiện UserBalanceOpKind.WITHDRAW_INTERNAL )kind = 1$128 .”

Các chuyên gia bảo mật trên chuỗi đã nhấn mạnh rằng địa chỉ của kẻ tấn công đã bắt đầu hợp nhất các tài sản, gây ra lo ngại rằng họ đang chuẩn bị rửa tiền thông qua các bộ trộn phi tập trung.

Một Lỗ Hổng Thứ Ba

Balancer là một nền tảng phi tập trung được xây dựng trên Ethereum cho phép người dùng giao dịch token và cung cấp thanh khoản bằng cách sử dụng các hồ tự cân bằng của nó. Giao thức này đã hoạt động từ năm 2020 và nắm giữ hơn ( triệu trong TVL chỉ trên Ethereum. Sự cố mới nhất là vụ vi phạm bảo mật thứ ba được biết đến của Balancer. Nền tảng này trước đó đã gặp phải các cuộc tấn công vào năm 2021 và 2023, mất hàng triệu. Các chuyên gia on-chain cho biết rằng kho bạc là hợp đồng thông minh chính của Balancer, nắm giữ token từ mọi hồ Balancer.

Thiết kế được giới thiệu trong Balancer v2 và tách biệt kế toán token khỏi logic pool, làm cho các pool nhỏ hơn, đơn giản hơn và an toàn hơn để xây dựng. Cách tiếp cận này cho phép bất kỳ ai cũng có thể kết nối một thiết kế pool mới mà không cần tạo ra một DEX mới.

Thông báo: Bài viết này được cung cấp chỉ với mục đích thông tin. Nó không được đưa ra hoặc dự định được sử dụng như là tư vấn pháp lý, thuế, đầu tư, tài chính, hoặc các tư vấn khác.

BAL-5.51%

ETH-12.07%

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.