Balancer bị tấn công 116 triệu USD! 11 lần kiểm toán thất bại dẫn đến khủng hoảng niềm tin Tài chính phi tập trung

DEX và AMM Balancer đã bị tấn công, dẫn đến 1.16 triệu USD tài sản kỹ thuật số bị đánh cắp, gây ra khủng hoảng niềm tin trong DeFi. Kể từ năm 2021, các công ty an ninh OpenZeppelin, Trail of Bits, Certora và ABDK đã thực hiện 11 cuộc kiểm toán cho hợp đồng thông minh Balancer, nhưng vẫn bị đánh cắp tiền.

Chi tiết kỹ thuật của cuộc tấn công lỗ hổng 1.16 triệu đô la

（Nguồn: Lookonchain）

Vụ khai thác lỗ hổng được báo cáo vào ngày 3 tháng 11 đã dẫn đến việc hơn 116 triệu đô la tiền ETH được đặt cọc bị đánh cắp. Theo nhật ký Etherscan, các token đã được chuyển đến một ví mới thông qua ba giao dịch. Nansen đã cho biết trong một bài đăng trên X vào thứ Hai rằng việc chuyển này bao gồm 6.850 ETH StakeWise (OSETH), 6.590 Wrapped Ether (WETH) và 4.260 Lido wstETH (wSTETH).

Theo nền tảng dữ liệu blockchain Lookonchain, tính đến 8:52 sáng UTC thứ Hai, sự kiện tấn công kéo dài này đã dẫn đến việc số tiền bị đánh cắp tăng lên hơn 116.6 triệu USD. Nhà phân tích nghiên cứu của Nansen, Nicolai Sondergaard, đã nói với Cointelegraph rằng lỗ hổng của Balancer có thể bắt nguồn từ vấn đề hợp đồng thông minh, với “lỗi kiểm tra truy cập, cho phép kẻ tấn công gửi lệnh để rút tiền”. Ông cũng bổ sung: “Theo quan sát của tôi, tổn thất hiện đã vượt quá 100 triệu USD và ảnh hưởng đến Balancer V2 và các phiên bản phân nhánh khác của nó.”

Lỗ hổng kiểm soát truy cập là một trong những thiếu sót an ninh phổ biến nhưng cũng nghiêm trọng nhất trong hợp đồng thông minh. Các lỗ hổng này cho phép người dùng không được phép gọi các hàm đáng lẽ phải bị giới hạn, từ đó thực hiện các thao tác đặc quyền, chẳng hạn như rút tiền, sửa đổi tham số hoặc hủy bỏ token. Trong trường hợp của Balancer, kẻ tấn công rõ ràng đã lợi dụng lỗi kiểm tra quyền truy cập trong bể ổn định có thể kết hợp V2, vượt qua cơ chế xác thực quyền hạn thông thường và trực tiếp rút tài sản đặt cọc trong bể.

Balancer đã cập nhật thông tin về lỗ hổng cho người dùng trong bài đăng X vào thứ Hai, cho biết sự cố này “chỉ giới hạn ở các bể ổn định kết hợp V2, sẽ không ảnh hưởng đến Balancer V3 hoặc các bể Balancer khác”. Tuyên bố này nhằm xoa dịu người dùng, ngăn chặn nỗi lo lắng lan rộng ra toàn bộ giao thức. Tuy nhiên, bể ổn định kết hợp V2, như một trong những sản phẩm cốt lõi của Balancer, vẫn chịu ảnh hưởng cực kỳ nghiêm trọng từ cuộc tấn công.

Tại sao 11 lần kiểm toán không thể ngăn chặn tấn công

Nền tảng này cũng cho biết, nó “đã trải qua nhiều cuộc kiểm toán rộng rãi từ các công ty hàng đầu và từ lâu đã có chương trình thưởng cho lỗ hổng để khuyến khích các kiểm toán viên độc lập”, điều này khiến người ta đặt câu hỏi về cách mà lỗ hổng đó đã bị lợi dụng. “Balancer đã trải qua hơn mười lần kiểm toán”, Suhail Kakar, người phụ trách quan hệ phát triển blockchain TAC cho biết, “Kho bạc đã được các công ty khác nhau kiểm toán ba lần, nhưng vẫn bị hacker tấn công, gây thiệt hại lên tới 110 triệu USD. Lĩnh vực này cần phải hiểu rằng, 'đã được X kiểm toán' gần như không có ý nghĩa gì. Mã rất khó, DeFi còn khó hơn.”

Theo danh sách kiểm toán Balancer V2 được cung cấp trên GitHub, bốn công ty an ninh khác nhau - OpenZeppelin, Trail of Bits, Certora và ABDK - đã thực hiện 11 lần kiểm toán đối với hợp đồng thông minh của nền tảng này, lần gần đây nhất là kiểm toán ổn định do Trail of Bits thực hiện vào tháng 9 năm 2022. Tần suất kiểm toán này đã được coi là mức rất cao trong các giao thức DeFi, nhưng vẫn không thể ngăn chặn sự xảy ra của các cuộc tấn công.

Trường hợp này tiết lộ những hạn chế cơ bản của việc kiểm toán hợp đồng thông minh. Đầu tiên, việc kiểm toán thường mang tính thời điểm, chỉ có thể phát hiện ra vấn đề tồn tại tại thời điểm kiểm toán, không thể bao quát các bản cập nhật mã hoặc nâng cấp giao thức sau đó. Thứ hai, khả năng và thời gian đầu tư của kiểm toán viên là có giới hạn, các hợp đồng thông minh phức tạp có thể chứa hàng nghìn dòng mã và các tương tác logic phức tạp, làm cho kiểm toán viên khó phát hiện tất cả các lỗ hổng tiềm ẩn. Thứ ba, một số lỗ hổng chỉ xuất hiện trong các điều kiện thị trường hoặc tình huống tương tác cụ thể, trong khi việc kiểm toán thường chỉ có thể kiểm tra một số lượng hạn chế các tình huống.

Năm hạn chế của hệ thống kiểm toán DeFi

Vấn đề thời điểm: Cập nhật mã sau kiểm toán có thể giới thiệu lỗ hổng mới

Thách thức về độ phức tạp: Hàng nghìn dòng mã và logic phức tạp khó kiểm tra toàn diện.

Sự phủ sóng cảnh thiếu hụt: Không thể kiểm tra tất cả các tổ hợp tương tác có thể.

Kích thích kinh tế sai lệch: Chi phí kiểm toán cố định, không thưởng thêm cho việc phát hiện lỗ hổng

Trách nhiệm mơ hồ: Báo cáo kiểm toán thường có điều khoản miễn trừ trách nhiệm, sau khi xảy ra sự cố, các công ty kiểm toán rất ít khi chịu trách nhiệm.

Cointelegraph đã liên hệ với OpenZeppelin để tìm kiếm bình luận, nhưng tính đến thời điểm phát hành vẫn chưa nhận được phản hồi. Người phát ngôn của Trail of Bits từ chối bình luận về lỗ hổng này, “cho đến khi tìm ra nguyên nhân gốc rễ và đảm bảo tất cả các nhánh Balancer đều an toàn.” Thái độ thận trọng này là có thể hiểu được, vì bình luận quá sớm có thể dẫn đến tranh chấp trách nhiệm pháp lý.

20% Chiến lược phục hồi tiền thưởng mũ trắng và mối đe dọa pháp lý

（Nguồn: Etherscan）

Để thu hồi vốn, đội ngũ đứng sau Balancer đã treo thưởng lên tới 20% số tiền bị đánh cắp, với điều kiện số tiền còn lại sau khi trừ thưởng phải được hoàn trả ngay lập tức. Chiến lược thưởng cho “mũ trắng” này đã có nhiều trường hợp thành công trong lĩnh vực DeFi, chẳng hạn như Poly Network đã thu hồi toàn bộ vốn sau khi bị đánh cắp 610 triệu USD vào năm 2021 thông qua thương lượng. Tuy nhiên, tỷ lệ thưởng 20% có đủ sức hấp dẫn để lôi kéo kẻ tấn công hoàn trả vốn hay không, phụ thuộc vào danh tính và động cơ của kẻ tấn công.

Nhóm Balancer đã phát hành thông báo giao dịch blockchain vào thứ Hai, thông báo cho kẻ tấn công rằng nếu họ hoàn trả toàn bộ số tiền bị đánh cắp trong vòng 48 giờ sau khi thông báo được phát hành, họ sẽ cung cấp phần thưởng cao nhất lên tới 20% số tiền bị đánh cắp. Cửa sổ thời gian 48 giờ nhằm tạo ra cảm giác khẩn trương, thúc đẩy kẻ tấn công nhanh chóng đưa ra quyết định. Tuy nhiên, giới hạn thời gian này cũng có thể tạo áp lực cho kẻ tấn công, buộc họ phải nhanh chóng chuyển tiền, từ đó làm tăng độ khó trong việc thu hồi.

Balancer cho biết: “Nếu bạn chọn không hợp tác, chúng tôi đã thuê các chuyên gia chứng minh blockchain độc lập và đang tích cực hợp tác với nhiều cơ quan thực thi pháp luật và đối tác quản lý.” Balancer đã cho biết vào thứ Hai trong một tuyên bố giao dịch blockchain: “Các đối tác của chúng tôi rất tự tin rằng, thông qua siêu cơ sở hạ tầng của chúng tôi, các siêu dữ liệu nhật ký truy cập thu thập được có thể xác định danh tính của bạn, và những siêu dữ liệu này sẽ hiển thị các kết nối đến từ một tập hợp các địa chỉ IP/ASN đã được xác định và các dấu thời gian đầu vào liên quan đến các hoạt động giao dịch trên chuỗi.”

Chiến lược đe dọa này có hiệu quả trong một số trường hợp, nhưng cũng có thể phản tác dụng. Nếu kẻ tấn công là một nhóm hacker chuyên nghiệp, họ thường đã thực hiện các biện pháp ẩn danh đầy đủ, bao gồm việc sử dụng VPN, mạng Tor và dịch vụ trộn tiền. Mặc dù điều tra blockchain có thể theo dõi dòng tiền, nhưng việc xác định danh tính thực sự của kẻ tấn công vẫn cực kỳ khó khăn. Tính đến thời điểm viết bài, dự án vẫn chưa công bố bất kỳ thông tin cập nhật nào liên quan đến phần thưởng hoặc chi tiết khai thác.

Sự kiện tấn công lịch sử của Balancer tiết lộ vấn đề an ninh hệ thống

Đây không phải là lần đầu tiên Balancer bị tấn công. Hai năm trước, trang web front-end của Balancer đã bị tấn công hệ thống tên miền (DNS), và giao thức đã công bố tình huống này vào thời điểm đó. Kẻ tấn công đã điều hướng người dùng trang web đến một trang web lừa đảo, trang web này liên quan đến hợp đồng thông minh độc hại, nhằm đánh cắp quỹ của người dùng. Theo nhà điều tra blockchain ZachXBT, trong cuộc tấn công lừa đảo này, khoảng 238.000 đô la tài sản kỹ thuật số đã bị đánh cắp.

Vào tháng 8 năm 2023, Balancer đã gặp phải một cuộc tấn công lỗ hổng trị giá gần 1 triệu USD, và chỉ một tuần trước đó, giao thức vừa mới công bố một “lỗ hổng nghiêm trọng” liên quan đến một phần của các bể thanh khoản của nó. Mô hình “lỗ hổng vừa được công bố ngay lập tức bị tấn công” thật sự rất mỉa mai, cho thấy quy trình công khai công bố lỗ hổng có thể gặp vấn đề. Sau khi công khai lỗ hổng, giao thức cần thời gian để người dùng di chuyển quỹ hoặc nâng cấp hợp đồng, nhưng khoảng thời gian này cũng tạo cơ hội cho kẻ tấn công tận dụng lỗ hổng.

Vào tháng 6 năm 2020, Balancer đã bị tấn công bởi hacker, với giá trị 500.000 đô la Ethereum và các token khác bị đánh cắp. Đây là một cuộc tấn công vay chớp nhoáng dựa trên token giảm phát Statera (STA), trong đó 1% của mỗi giao dịch sẽ tự động bị tiêu hủy. Cuộc tấn công này đã khai thác lỗi logic của Balancer khi xử lý các token giảm phát, và kẻ tấn công đã khuếch đại ảnh hưởng của lỗi này thông qua việc vay chớp nhoáng.

Sau khi xuất hiện lỗ hổng Balancer, các xác thực đứng sau blockchain Berachain đã khẩn cấp ngừng hoạt động mạng để thực hiện cập nhật khẩn cấp hoặc phân tách cứng. Quỹ Berachain đã viết trong một bài X được phát hành vào thứ Hai rằng đợt phân tách cứng khẩn cấp này nhằm giải quyết lỗ hổng Balancer liên quan đến các tài sản cụ thể trên DEX gốc của Berachain. “Việc tạm ngừng giao dịch này đã được lên kế hoạch cẩn thận, ngay khi thu hồi tất cả các khoản tiền bị ảnh hưởng, mạng sẽ sớm được khôi phục hoạt động.” Phản ứng dây chuyền này cho thấy lỗ hổng Balancer không chỉ ảnh hưởng đến chính nó mà còn đe dọa đến các dự án phân tách sử dụng mã của nó.