Balancer bị khai thác 128 triệu USD trên 6 blockchain do lỗi kiểm soát truy cập ở Balancer V2; Ethereum chịu thiệt hại lớn nhất 99 triệu USD, Berachain buộc dừng mạng để hard fork khẩn cấp.
Sự cố lan nhanh qua các triển khai và fork, quét sạch thanh khoản ở nhiều boosted pool. TVL của Balancer rơi gần 50% chỉ trong vài giờ, làm xấu thêm tâm lý thị trường ngay đầu tháng 11/2025.
- Kẻ tấn công rút 128 triệu USD trên 6 chuỗi; Ethereum chiếm 99 triệu USD và các tài sản WETH, osETH, wstETH bị ảnh hưởng nặng.
- Lỗi kiểm soát truy cập trong Balancer V2 cho phép rút nội bộ trái phép từ boosted pools; nhiều fork thừa hưởng lỗ hổng.
- Berachain dừng mạng để hard fork, TVL Balancer giảm từ khoảng 443 triệu USD xuống 255,82 triệu USD, phản ánh cú sốc niềm tin.
Balancer bị khai thác 128 triệu USD trên 6 blockchain
Trong ngày 3/11/2025, giao thức DeFi Balancer (chủ yếu các vault V2 và boosted pools) bị khai thác, khiến hơn 128 triệu USD bị rút trái phép chỉ trong vài giờ.
Thiệt hại phân bổ: Ethereum 99.000.000 USD; Berachain 12.860.000 USD; Arbitrum 6.860.000 USD; Base 3.900.000 USD; Sonic 3.440.000 USD; Optimism 1.580.000 USD; Polygon 232.000 USD. Đợt tấn công lan nhanh theo chiều ngang khi kẻ xấu khai thác cùng một lớp lỗ hổng trên nhiều triển khai.
| Blockchain | Giá trị thiệt hại (USD) |
|---|---|
| Ethereum | 99.000.000 |
| Berachain | 12.860.000 |
| Arbitrum | 6.860.000 |
| Base | 3.900.000 |
| Sonic | 3.440.000 |
| Optimism | 1.580.000 |
| Polygon | 232.000 |
Lỗi kiểm soát truy cập trong Balancer V2 là nguyên nhân cốt lõi
Lỗi kiểm tra quyền truy cập trong smart contract V2 cho phép các lệnh rút nội bộ trái phép từ boosted pools, mở đường cho việc “hút cạn” thanh khoản.
Kiểu lỗi này thường phát sinh khi logic ủy quyền nội bộ thiếu chốt chặn, khiến các vai trò có thể gọi chức năng nhạy cảm mà không qua đủ kiểm tra. Trong bối cảnh boosted pools tích hợp với các giao thức Sinh Lời, chuỗi tác động càng lớn do tài sản luân chuyển qua nhiều adapter.
Các fork kế thừa lỗ hổng khiến thiệt hại lan rộng
Không chỉ triển khai chính của Balancer bị ảnh hưởng; nhiều giao thức fork trên các chuỗi khác nhau thừa hưởng cùng lỗi, làm bề mặt tấn công phình to.
Khi một lỗ hổng nằm ở lớp logic chung, kẻ tấn công có thể tái sử dụng cùng kỹ thuật trên nhiều bản triển khai. Điều này giải thích vì sao thiệt hại dồn dập ở 6 chuỗi chỉ trong vài giờ, thay vì tập trung một điểm.
Berachain dừng mạng và hard fork khẩn cấp để cô lập rủi ro
Để ngăn lan rộng thiệt hại liên quan đến Balancer V2, các validator Berachain đã đồng thuận dừng mạng, chuẩn bị hard fork khẩn cấp.
“Các validator Berachain đã phối hợp để cố ý dừng mạng Berachain, khi core team thực hiện một hard fork khẩn cấp nhằm xử lý các vụ khai thác liên quan Balancer V2 trên BEX.”
– Berachain, tài khoản X chính thức, 3/11/2025, https://x.com/berachain/status/1985288599152042101
Đây là biện pháp hiếm gặp vì đánh đổi tính liên tục của mạng để bảo toàn hệ thống. Trong các tình huống khẩn cấp, dừng mạng giúp chặn dòng tiền xấu và tạo khoảng trống kỹ thuật cho việc triển khai bản vá.
Dòng vốn rời khỏi Balancer, TVL lao dốc gần 50%
TVL của Balancer rơi từ khoảng 443 triệu USD xuống 255,82 triệu USD chỉ trong vài giờ, phản ánh cú sốc niềm tin của người dùng và LP.
Đồ thị từ DeFi Llama cho thấy độ dốc giảm mạnh khi nhà đầu tư rút vốn phòng ngừa rủi ro dây chuyền, kể cả ở các pool chưa bị ảnh hưởng. Nỗi lo về lỗ hổng tiềm ẩn còn lại đẩy nhanh tâm lý tháo chạy. Nguồn: DeFi Llama https://defillama.com/protocol/balancer-v2
2025 ghi nhận nhiều vụ hack lớn, Balancer đứng thứ 3
Vụ việc của Balancer là một trong ba vụ hack DeFi lớn nhất năm 2025, xếp sau các sự cố đình đám diễn ra từ đầu năm.
Theo tổng hợp sự kiện, nhóm Lazarus của Triều Tiên bị cho là đã lấy 1,5 tỷ USD từ Bybit hồi tháng 2. Tháng 5, Cetus Protocol thất thoát 223 triệu USD. Nửa đầu năm ghi nhận hơn 2,17 tỷ USD bị đánh cắp; Nobitex tại Iran mất 90 triệu USD tháng 6, CoinDCX tại Ấn Độ mất 44,2 triệu USD tháng 7. Quy mô Balancer nổi bật vì lan qua 6 chuỗi.
Tâm lý thị trường suy yếu sau “Uptober” hụt hơi
Tháng 10/2025 không mang lại “Uptober” như kỳ vọng, kèm một đợt thanh lý gần 20 tỷ USD, khiến đòn bẩy bị bóp nghẹt.
Khi tháng 11 mở màn bằng một trong những vụ hack DeFi lớn nhất năm, khẩu vị rủi ro càng co hẹp. Nhà đầu tư chuyển sang phòng thủ, ưu tiên rút thanh khoản và theo dõi cập nhật điều tra từ Balancer.
Người dùng nên quản trị rủi ro ra sao trước sự cố tương tự?
Ưu tiên an toàn vốn: rà soát và thu hồi quyền cấp phép (revoke approvals) với các contract liên quan; cân nhắc rút khỏi boosted pools, fork hoặc adapter chưa được xác nhận an toàn.
Theo dõi kênh chính thức của dự án và các trình theo dõi on-chain đáng tin cậy; tránh tương tác contract lạ sau sự cố; phân tán tài sản qua nhiều ví/chuỗi để giảm rủi ro điểm đơn. Cuối cùng, cập nhật bản vá/hard fork trước khi nạp lại thanh khoản.
Câu hỏi thường gặp
Vụ khai thác Balancer thiệt hại bao nhiêu và ở đâu?
Tổng thiệt hại hơn 128 triệu USD trên 6 chuỗi: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism và Polygon, trong đó Ethereum chịu 99 triệu USD.
Nguyên nhân chính của lỗ hổng là gì?
Lỗi kiểm tra quyền truy cập trong Balancer V2 cho phép rút nội bộ trái phép từ boosted pools, bị kẻ tấn công lợi dụng để rút thanh khoản.
Vì sao Berachain dừng mạng?
Validator Berachain phối hợp dừng mạng để triển khai hard fork khẩn cấp, cô lập tác động từ các khai thác liên quan Balancer V2.
TVL của Balancer giảm bao nhiêu?
TVL giảm từ khoảng 443 triệu USD xuống 255,82 triệu USD trong vài giờ, tương đương gần 50%.
Tôi đang ở boosted pool, nên làm gì?
Rà soát quyền cấp phép và cân nhắc rút tạm thời, theo dõi thông báo chính thức và chỉ nạp lại sau khi có xác nhận vá lỗi/hard fork ổn định.
