Tin tức crypto

Balancer Exploit: Lỗ Hổng Hơn 100 Triệu USD Dù Kiểm Toán Kỹ

Đã đăng trên bởi Crypto Insights – NĐTV
Balancer exploit
04
Th11

Balancer Exploit: Hơn 100 Triệu USD Bốc Hơi Dù Đã Kiểm Toán Nhiều Lần

The Balancer exploit gần đây đã gây chấn động cộng đồng tiền điện tử khi hơn 100 triệu USD tài sản kỹ thuật số bị đánh cắp. Sự việc này không chỉ gây thiệt hại lớn mà còn đặt ra những nghi vấn nghiêm trọng về hiệu quả của các cuộc kiểm toán smart contract, vốn được xem là nền tảng của bảo mật DeFi. Dù Balancer đã trải qua nhiều vòng kiểm toán từ các công ty hàng đầu, một lỗ hổng vẫn bị khai thác, khiến nhiều nhà đầu tư hoang mang.

Sự Cố Balancer V2 và Thiệt Hại Khổng Lồ

Vào ngày thứ Hai, một cuộc tấn công thành công vào sàn giao dịch phi tập trung Balancer đã khiến hơn 116 triệu USD tài sản bị rút ruột. Vụ việc này được xác định là xảy ra tại các Composable Stable Pools của Balancer V2, trong khi Balancer V3 và các pool khác không bị ảnh hưởng. Các tài sản bị đánh cắp chủ yếu bao gồm StakeWise Staked ETH (OSETH), Wrapped Ether (WETH) và Lido wstETH (wSTETH), đều được chuyển đến một ví mới tạo. Theo một nhà phân tích của Nansen, nguyên nhân có thể xuất phát từ một lỗi kiểm tra quyền truy cập (faulty access check) trong smart contract, cho phép kẻ tấn công thực hiện lệnh rút tiền trái phép. Đây là một tổn thất đáng kể, làm dấy lên hồi chuông cảnh báo về rủi ro tiềm ẩn trong hệ sinh thái bảo mật DeFi.

Nghi Vấn Lớn Về Hiệu Quả Kiểm Toán Smart Contract

Điểm đáng lo ngại nhất sau Balancer exploit là thực tế nền tảng này đã được kiểm toán rộng rãi. Balancer tuyên bố đã trải qua quá trình kiểm toán chuyên sâu bởi các công ty hàng đầu và duy trì các chương trình tiền thưởng lỗi (bug bounties) trong thời gian dài. Tuy nhiên, điều này vẫn không ngăn được vụ tấn công.

11 Cuộc Kiểm Toán Từ Các Công Ty Hàng Đầu

Theo thông tin trên GitHub, Balancer V2 đã được bốn công ty bảo mật danh tiếng – OpenZeppelin, Trail of Bits, Certora và ABDK – thực hiện tổng cộng 11 cuộc kiểm toán các hợp đồng thông minh của mình. Cuộc kiểm toán gần đây nhất đối với stable pool được Trail of Bits hoàn thành vào tháng 9 năm 2022. Mặc dù vậy, một lỗ hổng vẫn tồn tại, cho phép Balancer exploit xảy ra. Suhail Kakar, một nhà phát triển tại blockchain TAC, đã bình luận trên X rằng “đã được kiểm toán bởi X” gần như không có ý nghĩa gì, nhấn mạnh sự phức tạp của việc mã hóa và đặc biệt là lĩnh vực tài chính phi tập trung (DeFi).

Mối Lo Ngại Về Bảo Mật DeFi Tổng Thể

Vụ việc Balancer exploit này đã làm dấy lên những cuộc tranh luận rộng rãi về độ tin cậy của các báo cáo kiểm toán trong không gian blockchain. Nó cho thấy rằng ngay cả với những nỗ lực kiểm toán kỹ lưỡng nhất, các lỗ hổng bảo mật vẫn có thể bị bỏ sót. Điều này đặt ra câu hỏi về các tiêu chuẩn kiểm toán hiện hành và nhu cầu về các phương pháp tiếp cận mạnh mẽ hơn để đảm bảo an toàn cho tài sản người dùng trong các dự án DeFi. Việc cải thiện quy trình đánh giá và thử nghiệm các hợp đồng thông minh là điều cấp thiết để giảm thiểu rủi ro tương tự trong tương lai.

Phản Ứng Của Balancer Và Nỗ Lực Khôi Phục

Ngay sau Balancer exploit, đội ngũ Balancer đã nhanh chóng đưa ra thông báo và hành động. Họ đã đề nghị một khoản tiền thưởng mũ trắng (white hat bounty) lên tới 20% số tiền bị đánh cắp nếu toàn bộ số tiền được hoàn trả trong vòng 48 giờ kể từ khi đưa ra thông báo.

Balancer cũng nhấn mạnh rằng nếu những kẻ tấn công không hợp tác, họ đã thuê các chuyên gia pháp y blockchain độc lập và đang tích cực phối hợp với nhiều cơ quan thực thi pháp luật và đối tác quản lý. Tại thời điểm báo cáo, chưa có thông tin cập nhật nào về việc hoàn trả tiền hay chi tiết thêm về vụ Balancer exploit. Những nỗ lực này thể hiện cam kết của Balancer trong việc bảo vệ tài sản người dùng và đảm bảo an toàn cho nền tảng, dù thách thức là rất lớn.

Kết luận: Vụ Balancer exploit là một lời nhắc nhở rõ ràng về những rủi ro cố hữu trong không gian DeFi, đặc biệt là khi liên quan đến bảo mật smart contract. Mặc dù kiểm toán là một bước quan trọng, nó không phải là giải pháp tuyệt đối. Cộng đồng và các dự án DeFi cần tiếp tục cải thiện quy trình kiểm toán, khuyến khích các chương trình tiền thưởng lỗi mạnh mẽ và nâng cao nhận thức về các lỗ hổng bảo mật tiềm ẩn. Chỉ khi đó, chúng ta mới có thể xây dựng một hệ sinh thái tài chính phi tập trung thực sự an toàn và đáng tin cậy.

Câu hỏi thường gặp

  • Balancer exploit là gì và gây thiệt hại bao nhiêu?
    Balancer exploit là một cuộc tấn công vào sàn giao dịch phi tập trung Balancer, dẫn đến việc hơn 116 triệu USD tài sản kỹ thuật số bị đánh cắp. Vụ việc này chủ yếu ảnh hưởng đến các Composable Stable Pools của Balancer V2.
  • Tại sao Balancer lại bị tấn công dù đã được kiểm toán nhiều lần?
    Balancer đã trải qua 11 cuộc kiểm toán bởi bốn công ty bảo mật hàng đầu (OpenZeppelin, Trail of Bits, Certora, ABDK) kể từ năm 2021. Tuy nhiên, một lỗ hổng bảo mật được cho là do lỗi kiểm tra quyền truy cập trong smart contract vẫn bị khai thác, cho thấy sự phức tạp và thách thức trong việc đảm bảo bảo mật tuyệt đối cho DeFi.
  • Balancer đã làm gì để giải quyết vụ việc và khôi phục tài sản?
    Balancer đã đề nghị một khoản tiền thưởng mũ trắng (white hat bounty) lên tới 20% số tiền bị đánh cắp nếu tài sản được hoàn trả trong vòng 48 giờ. Họ cũng đã thuê các chuyên gia pháp y blockchain độc lập và đang hợp tác với các cơ quan thực thi pháp luật để truy tìm và khôi phục tài sản.
Crypto Insights – NĐTV

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *