[Coin98] Hacker dùng AI để hack 110 triệu đô của Balancer & Nhà đầu tư cần làm gì?

Balancer V2 đã bị hack 110 triệu USD vào ngày 3/11/2025, bài viết sẽ phân tích cách thức tấn công và những bài học bảo mật quan trọng cho toàn ngành DeFi.

Toàn cảnh Balancer bị hack 110 triệu USD
Ngày 3/11/2025, Balancer, một trong những giao thức AMM lớn nhất trên Ethereum, đã bị khai thác lỗ hổng trong hợp đồng thông minh, gây thiệt hại hơn 110 triệu USD. Vụ việc nhanh chóng lan rộng do kiến trúc Vault V2 tập trung, nơi một lỗi nhỏ trong kiểm soát truy cập đã cho phép hacker rút tài sản từ hầu hết các pool trên nhiều chuỗi khác nhau.

Sự cố này không chỉ khiến cộng đồng Balancer chấn động mà còn làm dấy lên lo ngại sâu sắc về rủi ro hệ thống trong DeFi - nơi các giao thức liên kết chặt chẽ có thể sụp đổ dây chuyền chỉ vì một lỗ hổng duy nhất.

• Ethereum: ~70 triệu USD - tổn thất nặng nhất, tập trung ở các pool chứa WETH, wstETH, osETH.
• Arbitrum: ~5,9 triệu USD - các pool cross-chain bị ảnh hưởng gián tiếp.
• Base: ~ 3,9triệu USD - vault triển khai song song bị rút thanh khoản nhanh.
• Sonic: ~3,4 triệu USD - thiệt hại chính đến từ giao thức fork Beets Finance.
• Polygon: ~117.000 USD - ảnh hưởng nhỏ, chỉ một số pool hoạt động.
• Optimism: ~283.000 USD - liên quan đến Beethoven X, một fork khác của Balancer.

Tổng thiệt hại toàn hệ thống: 110–115 triệu USD, tính trên tất cả các chuỗi EVM bị ảnh hưởng.

Ảnh hưởng của vụ việc không chỉ dừng lại ở Balancer. Các giao thức fork hoặc sử dụng lại code của Balancer như Beets Finance và Beethoven X cũng bị ảnh hưởng, làm dấy lên lo ngại về rủi ro kế thừa trong các dự án DeFi. Một số chuỗi phụ trợ như Berachain phải tạm dừng mạng khẩn cấp để triển khai bản vá.

Có hơn 27 dự án fork từ Balancer V2 với TVL 50 triệu USD. Nguồn: DefiLlama.
Hacker được cho là một địa chỉ ví duy nhất, hành động có tổ chức và tinh vi. Ví này hiện vẫn giữ gần 100 triệu USD tài sản bị đánh cắp, chủ yếu là ETH và các token staking. Dữ liệu on-chain cho thấy ví được khởi tạo bằng 100 ETH và 0,1 ETH từ Tornado Cash, cho thấy kẻ tấn công đã chuẩn bị kỹ về mặt ẩn danh và có thể đã tích trữ sẵn vốn trong Tornado từ trước.

Vụ việc đã làm lung lay niềm tin vào mô hình Vault tập trung của Balancer vốn từng được coi là một trong những thiết kế AMM tiên tiến nhất DeFi.

Dù giao thức đã trải qua hơn 10 cuộc kiểm toán độc lập từ OpenZeppelin, Trail of Bits và Certora, lỗ hổng vẫn lọt qua, khiến cộng đồng phải đặt lại câu hỏi: liệu audit có còn đủ để đảm bảo an toàn cho các hợp đồng thông minh phức tạp như hiện nay?

Balancer V2 đã được đã trải qua hơn 10 cuộc kiểm toán độc lập. Nguồn ảnh: Suhail Kakar.
Balancer đã bị hack như thế nào?
Vụ tấn công vào Balancer V2 không phải là một hành động ngẫu nhiên, mà là kết quả của sự kết hợp giữa kiến trúc thiết kế phức tạp, một lỗi logic tinh vi trong kiểm soát truy cập, và mức độ thành thạo cao của kẻ tấn công. Để hiểu được cách vụ hack này diễn ra, cần nhìn lại cấu trúc của Balancer và cách Vault V2 hoạt động - nơi chỉ một sai lệch nhỏ trong kiểm tra quyền truy cập cũng đủ gây ra thảm họa cho toàn hệ thống.

Tổng quan kiến trúc Vault V2 của Balancer
Balancer là một giao thức tạo lập thị trường tự động (AMM) được thiết kế cho phép người dùng cung cấp thanh khoản, giao dịch và tạo pool với nhiều loại tài sản khác nhau. Điểm khác biệt của Balancer so với Uniswap hay Curve nằm ở kiến trúc Vault.

Thay vì để mỗi pool quản lý token riêng biệt, Balancer tập trung toàn bộ tài sản của các pool vào một hợp đồng trung tâm gọi là Vault. Các pool chỉ giữ logic giao dịch (swap, add/remove liquidity), còn mọi token thực tế đều được lưu trữ và quản lý trong Vault.

Thiết kế này giúp tiết kiệm gas, tối ưu hoá hiệu suất swap giữa các pool và cho phép các pool tương tác liền mạch với nhau. Tuy nhiên, cũng chính vì toàn bộ thanh khoản đều nằm trong một nơi duy nhất, nếu Vault bị khai thác, toàn bộ giao thức cùng các giao thức fork hoặc tích hợp sẽ chịu chung hậu quả.

Cơ chế tấn công: lỗi kiểm soát truy cập trong manageUserBalance()
Trọng tâm của vụ hack nằm ở hàm manageUserBalance() trong hợp đồng Vault V2 - hàm chịu trách nhiệm xử lý các yêu cầu của người dùng liên quan đến việc nạp, rút, hoặc chuyển tài sản nội bộ.

Cụ thể, trong hàm con validateUserBalanceOp(), Balancer sử dụng biến msg.sender để xác định ai đang gọi giao dịch, nhưng lại cho phép người gọi truyền vào một giá trị op.sender tuỳ ý. Vấn đề là, thay vì kiểm tra tính hợp lệ giữa hai biến này, hàm chỉ xác thực lỏng lẻo, dẫn đến việc hacker có thể giả mạo danh tính người rút tiền bằng cách truyền vào op.sender khác với msg.sender.

Khi đó, kẻ tấn công có thể lợi dụng loại thao tác UserBalanceOpKind.WITHDRAW_INTERNAL – vốn được thiết kế cho người dùng rút token họ sở hữu trong Vault để rút token thuộc về người khác.

Bằng cách lặp lại quy trình này qua hàng chục lệnh trong một giao dịch duy nhất, hacker đã hút cạn tài sản từ hàng loạt pool, chuyển chúng về ví riêng chỉ trong vài phút.

Console.log xuất hiện trong code mẫu mà AI tạo ra. Nguồn: AdiFlips.
Điều đáng chú ý là mã tấn công của hacker chứa nhiều dòng log như “Start.”, “Done with amts1”, “Doing Batch” - những dòng ghi chú không mang ý nghĩa kỹ thuật rõ ràng. Các chuyên gia blockchain nhận định đây là dấu hiệu của mã được sinh bởi mô hình ngôn ngữ lớn (LLM) như ChatGPT hoặc Claude, bởi vì những “console.log” dạng này thường xuất hiện trong code mẫu mà AI tạo ra để “hướng dẫn từng bước”. Việc hacker quên xóa các dòng log này trước khi triển khai hợp đồng cho thấy khả năng họ đã dùng LLM hỗ trợ viết hoặc tinh chỉnh code tấn công.

Nói cách khác, vụ Balancer hack có thể là một trong những vụ tấn công DeFi đầu tiên được AI hỗ trợ ở cấp độ mã nguồn.

Tiền bị hack đang ở đâu?
Ngay sau khi khai thác thành công, hacker bắt đầu hợp nhất tài sản về một địa chỉ duy nhất. Theo dữ liệu từ Arkham và Nansen, ví chính này hiện vẫn nắm giữ khoảng 100 triệu USD, gồm WETH, osETH, wstETH, sfrxETH và rsETH.

Ví hacker vẫn đang nắm giữ hơn 110 triệu USD. Nguồn: Lookonchain.
Các nhà phân tích ghi nhận rằng ví này được khởi tạo bằng 100 ETH và 0.1 ETH nạp từ Tornado Cash - một chiến thuật quen thuộc để tránh bị liên kết trực tiếp với các sàn giao dịch tập trung hoặc địa chỉ nhận dạng được. Không có dấu hiệu cho thấy hacker đã rửa tiền qua mixer hoặc bridge kể từ sau vụ tấn công; nhiều khả năng họ đang chờ phản ứng của Balancer và các nhà điều tra trước khi hành động tiếp.

Cách tổ chức ví, tốc độ giao dịch, và việc điều phối trên nhiều chain cùng lúc cho thấy hacker có trình độ kỹ thuật cao, từng thực hiện nhiều vụ exploit trước đó.

Tuy nhiên, việc xuất hiện các log debug ngẫu nhiên khiến nhiều chuyên gia cho rằng đây không phải là một nhóm tấn công tinh gọn kiểu “APT”, mà là một cá nhân hoặc nhóm nhỏ dùng công cụ AI để gia tốc quá trình khai thác.

Người dùng cần làm gì để tránh mất tiền?
Nếu bạn vẫn còn thanh khoản trong các pool thuộc Vault V2, đặc biệt là những pool chứa ETH, stETH, wstETH, osETH hoặc các token staking tương tự, hành động đầu tiên là rút thanh khoản ngay lập tức. Đội ngũ Balancer đã xác nhận rằng V2 là phiên bản duy nhất bị ảnh hưởng, trong khi V3 vẫn an toàn.

Sau khi rút vốn, bạn nên thực hiện thêm các bước sau:

• Kiểm tra và thu hồi (revoke) quyền truy cập ví: Nhiều người dùng đã từng phê duyệt (approve) hợp đồng Balancer V2 có thể vẫn để lại quyền thao tác token. Sử dụng các công cụ như Revoke.cash, DeBank, hoặc trang “Token Approvals” của Etherscan để hủy các quyền không cần thiết. Điều này giúp ngăn hacker hoặc các hợp đồng fork bị ảnh hưởng sử dụng lại quyền đó để thao tác token từ ví của bạn.
• Tránh tương tác với các pool hoặc giao thức fork chưa được xác minh: Do nhiều fork của Balancer (như Beethoven X, Beets Finance) bị ảnh hưởng, bạn nên tạm dừng việc thêm thanh khoản hoặc farm phần thưởng tại các giao thức này cho đến khi họ xác nhận an toàn và phát hành bản vá chính thức.
• Theo dõi thông báo từ đội ngũ chính thức để xem dự án sẽ có thông báo hỗ trợ người dùng như thế nào sau vụ hack.

Đọc thêm: Revoke là gì? Tại sao phải thực hiện revoke? Tại đây.

Vụ hack Balancer V2 không chỉ là thất bại kỹ thuật mà còn là lời cảnh báo rằng “đã audit” không đồng nghĩa với an toàn. Từ sự cố này, ba bài học nổi bật được rút ra:

• Rủi ro từ thiết kế composable là có thật – một lỗi nhỏ ở Vault trung tâm có thể kéo sập cả hệ sinh thái phụ thuộc.
• Audit không phải là điểm kết thúc, mà chỉ là ảnh chụp tạm thời; mọi bản cập nhật, fork hay tích hợp đều cần được kiểm tra lại.
• AI đã bước vào kỷ nguyên tấn công bảo mật – các dấu vết trong mã cho thấy kẻ tấn công có thể dùng LLM để sinh và thử nghiệm exploit nhanh chóng, mở ra thời đại mới của những “AI hackers” trong DeFi.

https://coin98.net/balancer-hack

Sàn mấy tỷ đô mà bị vibe code hack thì hơi nhục

 

Không nhục lắm, tụi nó khôn + train con AI để exploit mà. Đạo cao 1 thước, ma cao 1 trượng. Lúc ra AI thì mị cũng từng nghĩ tới cái vấn đề này rồi, nay tụi này làm được luôn nên thấy đầu óc tụi nó giỏi.

 

Lập AI def đc , có điều coi ai chạy chiến lược nhanh .