Balancer đề xuất kế hoạch phân phối 8 triệu USD đã thu hồi sau vụ hack 116 triệu USD

Cộng đồng Balancer trình đề xuất hoàn trả cho người dùng bị ảnh hưởng

Hai thành viên trong cộng đồng Balancer đã nộp đề xuất phân phối khoản 8 triệu USD được thu hồi từ vụ hack 116 triệu USD xảy ra vào tháng 11. Tổng cộng 28 triệu USD từng được thu hồi nhờ hacker mũ trắng, đội cứu hộ nội bộ và nền tảng liquid staking Ether StakeWise. Tuy nhiên, đề xuất hiện tại chỉ áp dụng cho khoản 8 triệu USD do hacker mũ trắng và đội nội bộ lấy lại, còn gần 20 triệu USD được StakeWise thu hồi sẽ được phân phối riêng cho người dùng của nền tảng này.

Phương án phân phối: không xã hội hóa, trả theo tỷ lệ và đúng loại tài sản

Theo đề xuất, việc hoàn trả sẽ diễn ra theo phương thức không xã hội hóa, nghĩa là chỉ trả cho đúng các pool thanh khoản bị thiệt hại và phân phối theo tỷ lệ phần sở hữu của từng người dùng dựa trên Balancer Pool Token (BPT). Khoản hoàn trả sẽ được trả đúng loại token mà người dùng đã mất, nhằm tránh chênh lệch giá giữa các tài sản số.

CEO của Cyvers, Deddy Lavid, nhận định vụ hack Balancer là một trong những cuộc tấn công tinh vi nhất năm 2025, nhấn mạnh sự cấp thiết của việc nâng cao an toàn cho người dùng khi các mối đe dọa bảo mật ngày càng phức tạp.

Các công ty kiểm toán hàng đầu từng đánh giá Balancer nhưng vẫn không ngăn được vụ hack

11 lượt kiểm toán không đủ để ngăn lỗ hổng nghiêm trọng

Theo trang GitHub của Balancer, mã nguồn của giao thức đã trải qua 11 lượt kiểm toán bởi 4 công ty bảo mật blockchain hàng đầu. Tuy nhiên, giao thức vẫn bị tấn công, khiến nhiều người đặt câu hỏi về mức độ hiệu quả của kiểm toán bảo mật trong việc bảo đảm an toàn cho smart contract.

Nguyên nhân vụ hack: lỗi làm tròn trong cơ chế hoán đổi EXACT_OUT

Trong báo cáo hậu kiểm ngày 5/11, Balancer xác định nguyên nhân gốc rễ là một lỗ hổng trong hàm làm tròn của cơ chế hoán đổi EXACT_OUT trong các Stable Pool. Hàm này được thiết kế để làm tròn xuống, nhưng kẻ tấn công đã điều khiển tính toán để hệ thống làm tròn lên, tạo ra chênh lệch tính toán.

Kẻ tấn công sau đó kết hợp lỗ hổng này với batched swap — một giao dịch chứa nhiều thao tác cùng lúc — để rút cạn tiền khỏi các pool thanh khoản của Balancer.