Khi niềm tin trở thành điểm yếu: Số phận của Balancer và tương lai của DeFi

Tác giả: Louis, Trendverse Lab

Đầu tháng 11 năm 2025, lĩnh vực tài chính phi tập trung (DeFi) một lần nữa rung chuyển bởi các tình huống khẩn cấp.

Giao thức Balancer kỳ cựu đã bị vi phạm an ninh nghiêm trọng chỉ sau vài giờ. Khoảng 128 triệu USD tài sản đã được chuyển ra khỏi kho cốt lõi (Vault), liên quan đến các token chính thống như ETH, wstETH và osETH.

Khác với các cuộc tấn công reentrancy truyền thống, sự cố này không phải là một cách khai thác lỗ hổng hợp đồng đơn giản mà là sự xâm nhập chính xác vào kiến ​​trúc cốt lõi của Balancer. Kẻ tấn công đã khai thác một lỗ hổng logic trong kiểm soát truy cập giao thức để mở ra một lỗ hổng từ lớp Vault, được coi là nền tảng của hệ thống.

Thiết kế này từng được ngành ca ngợi vì "hiệu quả, sang trọng và tính mô-đun", cuối cùng đã trở thành một điểm dễ bị tổn thương duy nhất trong hệ thống. Ở góc độ kỹ thuật, đây là sự sụp đổ của “ranh giới tin cậy”; từ góc độ ngành, nó cho thấy sự căng thẳng lâu dài giữa độ phức tạp của kiến ​​trúc và quản trị bảo mật trong các giao thức DeFi. Để hiểu được gốc rễ của cuộc khủng hoảng này, chúng ta phải quay lại điểm xuất phát của nó - chính Balancer, vốn từng được coi là mô hình của kiến ​​trúc DeFi.

1. Trusted Veteran

Balancer là một giao thức trao đổi phi tập trung (DEX) được xây dựng trên Ethereum và cũng là một trong những nhà tạo lập thị trường tự động (AMM) tiêu biểu nhất trong lĩnh vực tiền điện tử.

Kể từ khi ra mắt vào năm 2020, nó đã cung cấp một mô hình mới cho các AMM truyền thống như Uniswap với cơ chế cải tiến là "nhóm đa tài sản + điều chỉnh vị thế tự động": người dùng không chỉ có thể phân bổ nhiều tài sản trong một nhóm quỹ duy nhất mà còn có thể tùy chỉnh trọng lượng và cấu trúc phí, từ đó đạt được khả năng quản lý thanh khoản linh hoạt hơn.

Nhờ thiết kế có khả năng tùy biến cao này, Balancer đã từng trở thành một trong những giao thức hoàn thiện nhất trong hệ sinh thái DeFi và tổng khối lượng khóa (TVL) của nó từng đạt tới hàng trăm triệu đô la.

Nguồn hình ảnh: Balancer Official Web

Trong kiến trúc Balancer V3 được nâng cấp mới nhất, giao thức đã tiếp tục hoàn thiện quá trình phát triển từ "quản lý quỹ" sang "điều phối quỹ thông minh".

Mọi hoạt động của người dùng (cho dù đó là trao đổi, thêm thanh khoản hay rút tiền mặt) sẽ đi qua một đường dẫn hướng dẫn rõ ràng: hướng dẫn trước tiên được Bộ định tuyến nhận và định tuyến, sau đó được chuyển đến Vault (kho bạc) để gửi tiền thống nhất. Vault kích hoạt Hook trước và sau khi thực thi—các mô-đun logic có thể cắm được để thực hiện các kiểm tra hoặc tính toán bổ sung trước và sau giao dịch.

Toàn bộ hệ thống sử dụng "Bộ định tuyến để nhận đơn đặt hàng, Vault để quản lý tiền, thực hiện nhóm và mở rộng Hook" làm quy trình cốt lõi để xây dựng lớp dưới cùng của giao dịch theo mô-đun và có thể lập trình.

Nguồn hình ảnh: Balancer Official Web

Trên cơ sở đó, Balancer cũng đưa ra cơ chế Boosted Pool (nhóm vốn nâng cao) nhằm nâng cao hơn nữa hiệu quả sử dụng vốn.

Khi người dùng thực hiện trao đổi (chẳng hạn như DAI → USDC), ngoài việc xử lý trực tiếp mã thông báo gốc của người dùng, Vault cũng sẽ tự động gửi và rút các mã thông báo được đóng gói tương ứng (chẳng hạn như waDAI, waUSDC) trong các giao thức bên ngoài (chẳng hạn như Aave) để đạt được mức sử dụng kép cả thanh khoản và thu nhập. Khi không có đủ tiền trong nhóm, Vault sẽ tự động được đổi; khi có tiền nhàn rỗi, chúng sẽ tự động được gửi vào các giao thức bên ngoài để kiếm lãi. Điều này cho phép các quỹ đạt được sự cân bằng động giữa "thanh khoản sẵn có" và "tối ưu hóa lợi nhuận". Tuy nhiên, giống nhưV2, chính logic phân bổ vốn tập trung này cũng đặt nền tảng cho rủi ro hệ thống. Vault là trung tâm của mọi dòng vốn. Một khi lỗ hổng xảy ra, nó sẽ không chỉ ảnh hưởng đến một nhóm duy nhất mà có thể ảnh hưởng đến toàn bộ giao thức và thậm chí cả hệ sinh thái chuỗi chéo. Boosted Pool tiếp tục mở rộng trách nhiệm của Vault trên cơ sở này, khiến nó không chỉ chịu trách nhiệm thanh toán quỹ nội bộ mà còn tương tác với các giao thức bên ngoài, điều đó có nghĩa là tác động của rủi ro tấn công đã mở rộng từ một giao thức duy nhất sang cấp độ đa giao thức. Mặc dù V3 đã cải thiện đáng kể khả năng cách ly mô-đun và kiểm soát quyền trong kiến ​​trúc của nó, mục tiêu của cuộc tấn công này không phải là phiên bản mới mà là các phiên bản V2 vẫn đang hoạt động trên chuỗi. (Lỗ hổng này đã được nhiều cơ quan bảo mật (bao gồm PeckShield và SlowMist) xác nhận trong quá trình truy xuất nguồn gốc giao dịch trên chuỗi và quan chức này cũng xác nhận trong thông báo rằng sự cố xảy ra trong hợp đồng V2.)

Trong phần tiếp theo, chúng ta sẽ xem xét quá trình xảy ra của cuộc tấn công này và thảo luận thêm - với tiền đề là V3 đã trực tuyến, tại sao V2 vẫn chưa thoát? Logic quản lý rủi ro đằng sau quyết định này cũng cho thấy mâu thuẫn lâu dài giữa sự phát triển công nghệ và bảo mật tài sản trong các giao thức DeFi.

2. Vault: Cái giá của "ảo tưởng" bảo mật

Kể từ khi ra mắt vào năm 2020, Balancer đã gặp nhiều sự cố bảo mật - từ lỗ hổng mã thông báo giảm phát sớm nhất, đến vấn đề về độ chính xác của nhóm V2 vào năm 2023, đến cuộc tấn công phân nhánh Velocore vào năm 2024. Mỗi lỗ hổng đều bộc lộ các lỗ hổng hệ thống dưới nhiều hình thức khác nhau, nhưng nhóm luôn có thể lấy lại niềm tin của người dùng thông qua nâng cấp nhanh chóng, sửa tham số và giao tiếp với cộng đồng.

Tuy nhiên, cuộc tấn công vào năm 2025 đã khác so với trước đây: lần này, vấn đề nằm ở thiết kế bảo mật ở cấp độ logic cốt lõi của giao thức, chứ không phải các vấn đề về giao diện người dùng truyền thống hoặc cuộc gọi bên ngoài.

Nguồn ảnh: TwitterLookonchain (hình này bạn đọc dễ dàng xem tỷ lệ phân phối, tổng số tổn thất hiển thị bên dưới)

Tính đến tháng 11 Vào ngày 3 tháng 12, nhiều cơ quan an ninh và phương tiện truyền thông ước tính rằng tổng thiệt hại do cuộc tấn công gây ra là khoảng 128 triệu đô la Mỹ, liên quan đến tài sản trên nhiều chuỗi (bao gồm Ethereum, Base, Berachain, v.v.).

Bỏ vấn đề mã phức tạp sang một bên, không giống như các cuộc tấn công truy cập lại truyền thống hoặc lừa đảo giao diện người dùng, nguyên nhân sâu xa của sự cố này nằm ở những sai sót trong logic cấp phép nội bộ của V2 Vault. Kẻ tấn công không phá hủy kiến ​​trúc hệ thống mà "ngụy trang" thành tài khoản nội bộ của giao thức thông qua giao diện hợp pháp và kích hoạt thành công chức năng rút tiền chỉ để sử dụng nội bộ. Kết quả là, hệ thống đã đánh giá sai danh tính của anh ta, coi số tiền lớn là khoản rút được ủy quyền và chuyển các tài sản có tính thanh khoản cao như ether và mã thông báo cam kết thanh khoản cùng một lúc.

Nói cách khác, "Vault xác định nhầm kẻ tấn công là kẻ của chính nó". Đây không phải là một lỗi mã hóa đơn giản mà là sự mất cân bằng thiết kế tinh vi hơn - khi giao thức theo đuổi tính linh hoạt và mô đun hóa cao hơn, việc cô lập bảo mật thường bị hy sinh. Ngay cả sau nhiều vòng kiểm tra, các lỗ hổng trong “giả định độ tin cậy của lớp logic” này vẫn có thể không được chú ý. Nó tiết lộ một thực tế quan trọng: Rủi ro bảo mật DeFi đã phát triển từ việc xem xét mã một điểm đến các vấn đề mang tính hệ thống về thiết kế kiến ​​trúc và ranh giới cấp phép.

Vậy tại sao kẻ tấn công chỉ nhắm mục tiêu V2?

Lý do là Vault của V2 vẫn hoạt động trên chuỗi và lưu trữ một lượng lớn tiền chưa được di chuyển và tài sản sinh thái.

Một số nhóm vốn DAO, công cụ tổng hợp doanh thu và giao thức thanh khoản sớm vẫn được gắn với hợp đồng V2, khiến việc di chuyển hoàn toàn phải đối mặt với chi phí cao ở cấp độ kỹ thuật, quản trị và thậm chí là đồng thuận.

Kẻ tấn công đã lợi dụng thực tế này và nhắm vào lỗ hổng kiểm soát truy cập trong chức năng quản lý số dư nội bộ của V2. Ngược lại, V3 đã xây dựng lại logic này, giới thiệu cơ chế phân lớp Bộ định tuyến và Móc, đồng thời tách các quyền khỏi đường dẫn hoạt động, do đó tránh được những rủi ro tương tự. Mối nguy hiểm sâu xa hơn nằm ở các quyết định quản trị. Nhóm Balancer đã không gỡ bỏ V2 ngay lập tức sau khi ra mắt V3. Một phần vì cân nhắc về khả năng tương thích và hợp tác sinh thái, họ đã chọn để hai thế hệ kiến ​​trúc hoạt động song song.

Chiến lược chuyển đổi “cũ và mới cùng tồn tại” này hợp lý về mặt thương mại, nhưng nó tạo ra một vùng xám về mặt bảo mật:

Các lỗ hổng thiết kế của phiên bản cũ cùng tồn tại với các giao diện mở của hệ thống mới. Sau khi được khai thác, rủi ro cục bộ sẽ nhanh chóng lan rộng thành các sự kiện hệ thống liên giao thức và tài sản chéo.

3. Phản ứng dây chuyền vượt ra ngoài lỗ hổng

Tác động thực sự của cuộc tấn công này vượt xa mức độ tài chính. Vụ việc đã gây ra phản ứng dây chuyền trong ba chiều sinh thái, thị trường và tâm lý, phơi bày những kết nối mong manh và khoảng trống niềm tin trong hệ thống DeFi.

1. Cấp độ sinh thái: rủi ro lây lan khi tái sử dụng nguồn mở

Mã nguồn mở của Balancer đã được tái sử dụng và phân nhánh rộng rãi, trở thành mô-đun cơ bản của nhiều dự án AMM và các thành phần trên chuỗi. Điều này có nghĩa là các lỗ hổng của một giao thức duy nhất không còn giới hạn ở chính nó mà có thể nhanh chóng lan rộng ra toàn bộ tầng sinh thái.

Khi Vault hoặc pool của V2 bị khai thác, các dự án phân nhánh và nhà tích hợp sử dụng cùng một logic buộc phải thực hiện các biện pháp khẩn cấp. Ví dụ, Berachain đã từng tạm dừng hoạt động mạng do các rủi ro tiềm ẩn và thực hiện sửa chữa khẩn cấp để tránh lan tỏa đường tấn công.

Sự "lây lan cấp mã" này mở rộng ranh giới tin cậy của DeFi từ một giao thức duy nhất đến hệ sinh thái hệ thống:

Một lỗ hổng không chỉ phá hủy tính bảo mật của ứng dụng mà còn làm lung lay sự ổn định của toàn bộ mạng vốn trên chuỗi.

2. Cấp độ thị trường: phản hồi tức thì về tiền và giá cả

Nguồn dữ liệu: Defilama

Thị trường phản ứng cực kỳ nhanh chóng trước rủi ro.

Theo dữ liệu của DeFiLlama, tính đến ngày 3 tháng 11 năm 2025, tổng khối lượng khóa (TVL) của Balancer đã giảm mạnh từ khoảng 775 triệu USD xuống còn 392 triệu USD, giảm gần 50% trong vòng 24 giờ.

Tương ứng, nhiều giao thức phân nhánh dựa trên mã Balancer cũng trải qua mức thoái lui TVL hơn 30% trong cùng thời gian. Việc triển khai một số chuỗi bị ảnh hưởng đã buộc phải tạm dừng hoặc ngoại tuyến để ngăn chặn việc truyền thêm rủi ro.

Những dữ liệu này cho thấy trong một hệ sinh thái phi tập trung, việc di chuyển vốn và điều chỉnh giá xảy ra gần như đồng thời và tốc độ mất lòng tin tương đương với tốc độ của dòng vốn.

3. Cấp độ tâm lý: Sự mong manh của việc chứng thực kiểm toán và đánh giá lại niềm tin

Sự cố này một lần nữa ảnh hưởng đến niềm tin của thị trường đối với cơ chế tin cậy truyền thống là “kiểm toán an ninh”.

Ngay cả sau nhiều vòng đánh giá của các cơ quan kiểm toán hàng đầu, các giao thức vẫn có thể thất bại do ranh giới logic mờ hoặc nợ kỹ thuật trước đây.

Kết quả kiểm toán đã được chứng minh là không thể thay thế cho an ninh cơ cấu lâu dài. Đối với LP (nhà cung cấp thanh khoản) và người dùng thông thường, sự cố này không gây ra tổn thất về giá trong ngắn hạn mà làm tăng chi phí niềm tin.

Họ bắt đầu đánh giá lại giá trị của "chứng khoán" tài sản vô hình và có xu hướng thoái vốn hoặc đa dạng hóa việc phân bổ, từ đó khuếch đại biến động của thị trường.

4. Vị thế và tương lai của DeFi: việc định hình lại niềm tin và sự tra tấn của thực tế

Sự cố của Balancer một lần nữa khiến ngành mã hóa phải đối mặt với câu hỏi đã được đặt ra nhiều lần nhưng không thể tránh khỏi:

——DeFi có thực sự “phi tập trung” không?

Những gì cuộc tấn công này bộc lộ không phải là một lỗ hổng kỹ thuật riêng biệt, mà là sự mâu thuẫn về cấu trúc của toàn bộ hệ thống tài chính phi tập trung:

Sự căng thẳng giữa lý tưởng và thực tế.

Mục đích ban đầu của DeFi là "xóa bỏ trung tâm và xây dựng lại niềm tin". Tuy nhiên, khi hệ sinh thái mở rộng và độ phức tạp của hệ thống tăng lên, các phụ thuộc bảo mật của nó bắt đầu được tập trung lại - từ các tổ chức kiểm toán, mạng tiên tri, mẫu hợp đồng, đến cầu nối chuỗi chéo và các lớp lưu trữ, mỗi thành phần "phi tập trung" đã dần hình thành một trung tâm mới về mặt logic vận hành.

Vụ hack Balancer's Vault là hình ảnh thu nhỏ của xu hướng này.

Nó thể hiện sự theo đuổi liên tục của ngành về tính hiệu quả và hội nhập—tập trung quản lý quỹ, cải thiện việc sử dụng quỹ và giảm chi phí ma sát. Tuy nhiên, khi hiệu quả vượt trội hơn tính bảo mật và khi khả năng kết hợp vượt trội hơn sự cô lập, ranh giới của “phân quyền” sẽ bị xóa mờ một cách âm thầm.

Cái gọi là tài chính mở đang phát triển thành một hệ thống có cấu trúc phức tạp hơn và phụ thuộc tập trung hơn.

Nhìn từ góc độ dài hạn hơn, sự cố này sẽ không khiến DeFi rút lui mà có thể trở thành bước ngoặt để ngành bước vào giai đoạn tiếp theo.

DeFi trong tương lai sẽ không còn bị giới hạn ở việc "tạo thị trường tự động" hoặc "tổng hợp doanh thu" mà sẽ phát triển thành một "hệ thống tài chính có thể xác minh":

Logic hợp đồng cần phải được giám sát và xác minh liên tục, các tác nhân AI và các lớp bảo mật trên chuỗi cùng nhau đảm nhận việc phòng ngừa rủi ro và mọi thay đổi trong quản trị và lập kế hoạch quỹ đều có thể được xác minh theo thời gian thực thay vì hồi cứu.

Nói cách khác, giai đoạn tiếp theo của DeFi không phải là "phi tập trung hơn" mà minh bạch hơn, dễ theo dõi hơn và có thể kiểm chứng hơn.

Niềm tin vẫn là cốt lõi, nhưng biểu hiện của nó đang thay đổi: từ "tin cậy mã theo mặc định" sang "để mã tiếp tục được xác minh".

Có lẽ trận thua của Balancer là một bài học đắt giá.

Nó nhắc nhở tất cả các nhà xây dựng và nhà đầu tư -

Phi tập trung không phải là điểm cuối, mà là một quá trình liên tục.

Mọi nâng cấp, mọi di chuyển và mọi cuộc kiểm tra đều đang xác minh xem thử nghiệm về độ tin cậy này có đủ bền vững hay không.

Từ góc độ đầu tư và quản trị, điều này cũng có nghĩa là việc định giá rủi ro không còn chỉ là hành vi thị trường mà là kết quả của sự hợp tác giữa logic mã và cơ chế đồng thuận.