Giao dịch
Loại giao dịch
Giao ngay
Giao dịch tiền điện tử một cách tự do
Alpha
Point
Nhận các token đầy hứa hẹn trong giao dịch trên chuỗi được tối ưu hóa
Trước giờ mở cửa
Giao dịch các token mới trước khi chúng được niêm yết chính thức
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Giao dịch khối & Chuyển đổi
0 Fees
Giao dịch bất kể khối lượng, không mất phí, không trượt giá
Token đòn bẩy
Sản phẩm ETF có thuộc tính đòn bẩy, giao dịch giao ngay, không cần vay, không cháy tải khoản
Futures
Futures
Hàng trăm hợp đồng được thanh toán bằng USDT hoặc BTC
Quyền chọn
HOT
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Bắt đầu với Hợp đồng
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia các sự kiện để giành được những phần thưởng hậu hĩnh
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Khởi động
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
NEW
Giao dịch tài sản on-chain và tận hưởng phần thưởng airdrop!
Điểm Futures
NEW
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Mua thấp và bán cao để kiếm lợi nhuận từ biến động giá
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Trung tâm tài sản VIP
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản của bạn
Quản lý tài sản cá nhân
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản kỹ thuật số của bạn
Quỹ định lượng
Đội ngũ quản lý tài sản hàng đầu giúp bạn kiếm lợi nhuận mà không cần lo lắng
Staking
Thế chấp tiền điện tử để kiếm tiền từ các sản phẩm PoS
BTC Staking
HOT
Stake BTC và kiếm APR 10%
Đúc GUSD
Sử dụng USDT/USDC để đúc GUSD với lợi suất tương đương kho bạc
Thêm
- Chủ đề thịnh hànhXem thêm
174.62K Phổ biến
83.21K Phổ biến
86.04K Phổ biến
28.9K Phổ biến
107.98K Phổ biến
- Gate Fun hotXem thêm
- Vốn hóa:$3.7KNgười nắm giữ:10.21%
- Vốn hóa:$3.6KNgười nắm giữ:10.00%
- Vốn hóa:$3.67KNgười nắm giữ:10.00%
- Vốn hóa:$3.73KNgười nắm giữ:20.09%
- Vốn hóa:$3.65KNgười nắm giữ:10.00%
- Ghim
Balancer đã bị hack sau 11 lần kiểm toán! Lỗ hổng 1.16 triệu dẫn đến TVL giảm 67%
Sau khi kho bạc Balancer v2 bị tấn công do lỗ hổng nghiêm trọng, dẫn đến việc mất hơn 116 triệu đô la trong vài tuần, Balancer DAO đã bắt đầu thảo luận về một kế hoạch nhằm phân phối khoảng 8 triệu đô la tài sản thu hồi cho các LP bị ảnh hưởng. Đề xuất này bao gồm việc cung cấp phần thưởng có cấu trúc cho các hacker mũ trắng và bồi thường cho người dùng dựa trên dữ liệu ảnh chụp nhanh tài sản trong hồ bơi của người dùng tại thời điểm khai thác lỗ hổng.
Balancer đã gặp sự cố an ninh nghiêm trọng lần thứ ba
(Nguồn: GitHub)
Lỗ hổng này được gây ra bởi khuyết điểm trong hợp đồng thông minh, đánh dấu việc Balancer đã trải qua sự cố an ninh nghiêm trọng lần thứ ba. Thực tế rằng đây là sự cố an ninh nghiêm trọng lần thứ ba thực sự mang tính mỉa mai, cho thấy Balancer có vấn đề hệ thống trong việc bảo vệ an ninh. Theo trang GitHub của nền tảng Balancer, mã nguồn của Balancer đã được bốn công ty an ninh blockchain khác nhau xem xét 11 lần.
Mặc dù đã trải qua kiểm toán, nền tảng này vẫn bị tấn công bởi hacker, điều này đã gây ra một số nghi ngờ từ người dùng tiền điện tử về giá trị của việc kiểm toán và liệu nó có thực sự đảm bảo an toàn cho mã hay không. Trường hợp này đã đánh thức toàn bộ ngành DeFi: mặc dù kiểm toán hợp đồng thông minh là một phần quan trọng trong bảo vệ an toàn, nhưng không phải là không có rủi ro. Các công ty kiểm toán có thể bỏ sót các lỗ hổng phức tạp, hoặc kẻ tấn công phát hiện ra những cách khai thác mới.
Vào ngày 5 tháng 11, Balancer đã phát hành một báo cáo phân tích hậu sự, tóm tắt nguyên nhân gốc rễ của cuộc tấn công hacker này: một lỗ hổng phức tạp liên quan đến hàm làm tròn được sử dụng trong giao dịch EXACT_OUT trong bể stablecoin của họ. Thiết kế của hàm làm tròn này nhằm làm tròn xuống khi nhập giá token, nhưng kẻ tấn công đã thành công trong việc thao túng quá trình tính toán, khiến nó làm tròn lên. Kẻ tấn công đã kết hợp lỗ hổng này với giao dịch hàng loạt (bao gồm nhiều thao tác trong một giao dịch duy nhất), từ đó đánh cắp tiền từ quỹ của Balancer.
Sự phức tạp của cuộc tấn công này giải thích lý do tại sao 11 lần kiểm toán đều không phát hiện ra vấn đề. Logic của hàm làm tròn có thể trông bình thường khi được xem xét riêng lẻ, nhưng khi kết hợp với cơ chế giao dịch hàng loạt, nó tạo ra lỗ hổng có thể bị khai thác. Sự tương tác phức tạp giữa các chức năng này thường là điểm mù khó phát hiện nhất đối với các kiểm toán viên.
và dẫn đến tổng giá trị khóa bị giảm mạnh từ khoảng 775 triệu USD xuống còn 258 triệu USD, với mức giảm lên tới 67%. Quy mô mất mát TVL này cho thấy niềm tin của nhà đầu tư vào Balancer đã bị tổn thất nghiêm trọng. Giá trị của token BAL cũng đã mất khoảng 30%, phản ánh sự kỳ vọng bi quan của thị trường về tương lai của giao thức. Theo Giám đốc điều hành của công ty an ninh mạng blockchain Cyvers, Deddy Lavid, cuộc tấn công vào Balancer là một trong những cuộc tấn công “phức tạp” nhất trong năm 2025, điều này nhấn mạnh tầm quan trọng của sự an toàn cho người dùng tiền điện tử khi các mối đe dọa an ninh tiếp tục phát triển.
800 triệu đô la bồi thường và cơ chế thưởng cho hacker mũ trắng
(Nguồn: Balancer)
Sau khi kho của Balancer v2 bị tấn công do lỗ hổng nghiêm trọng, dẫn đến việc mất hơn 116 triệu USD trong vài tuần, Balancer DAO đã bắt đầu thảo luận về một kế hoạch nhằm phân phối khoảng 8 triệu USD tài sản đã được thu hồi cho các LP bị ảnh hưởng. Đề xuất này chi tiết cách phân phối khoảng 8 triệu USD thu hồi từ cuộc tấn công hacker 116 triệu USD vào tháng 11 cho các nạn nhân. Hai thành viên của cộng đồng giao thức Balancer đã nộp một đề xuất vào thứ Năm, phác thảo kế hoạch phân phối một phần quỹ đã thu hồi từ lỗ hổng 116 triệu USD của giao thức này.
Trong vụ trộm 116 triệu đô la, khoảng 28 triệu đô la đã được các hacker mũ trắng, nhân viên cứu hộ nội bộ và nền tảng staking thanh khoản Ethereum StakeWise khôi phục. Tuy nhiên, đề xuất này chỉ bao gồm 8 triệu đô la được khôi phục bởi các hacker mũ trắng và đội cứu hộ nội bộ, trong khi gần 20 triệu đô la được StakeWise khôi phục sẽ được phân bổ riêng cho người dùng của họ. Chiến lược xử lý tách biệt này phản ánh sự phức tạp và các yếu tố pháp lý của các phương thức khôi phục khác nhau.
Cấu trúc phân bổ tiền đã thu hồi
Tin tặc mũ trắng + Cứu trợ nội bộ: khoảng 8 triệu đô la, được phân bổ cho LP bị ảnh hưởng theo đề xuất này.
StakeWise 追回:1,970 triệu USD osETH và osGNO, xử lý riêng phân bổ cho người dùng StakeWise.
Certora hợp tác thu hồi: 410 triệu USD, do trước đây có thỏa thuận không符合 điều kiện thưởng.
Tổng số tiền đã thu hồi: khoảng 28 triệu USD (chiếm 24% tổn thất)
Chưa thu hồi tổn thất: khoảng 88 triệu USD (chiếm 76% tổn thất)
Đề xuất này bao gồm việc cung cấp phần thưởng có cấu trúc cho các hacker mũ trắng, và bồi thường cho người dùng dựa trên dữ liệu ảnh chụp nhanh tài sản trong quỹ người dùng tại thời điểm khai thác lỗ hổng, điều này phù hợp với “Thỏa thuận Cảng An toàn”. Thỏa thuận quy định, giới hạn phần thưởng cho mỗi sự kiện là 1 triệu USD, và các hacker mũ trắng phải hoàn thành KYC toàn diện và kiểm tra trừng phạt. Cơ chế phần thưởng có cấu trúc này nhằm khuyến khích các hacker mũ trắng chọn cách công khai có trách nhiệm khi phát hiện các lỗ hổng, thay vì tự mình khai thác.
Trên Arbitrum, có một vài người cứu hộ ẩn danh đã từ bỏ yêu cầu thưởng. Hành động cao đẹp này được ca ngợi trong cộng đồng tiền điện tử, cho thấy không phải tất cả các hacker mũ trắng đều vì lợi ích kinh tế, mà có những người chỉ đơn thuần là để bảo vệ sự an toàn của hệ sinh thái. Các token được thu hồi bao gồm các mạng như Ethereum, Polygon, Base và Arbitrum, các nhà cung cấp thanh khoản sẽ nhận được bồi thường theo tỷ lệ token ban đầu mà họ đã cung cấp, theo tỷ lệ trong hồ.
Chi tiết kỹ thuật và tranh cãi về cơ chế bồi thường
Tác giả đề xuất rằng tất cả các khoản bồi thường nên là phi xã hội hóa, điều này có nghĩa là vốn chỉ được phân bổ cho các nhóm thanh khoản cụ thể đã mất vốn, và được thanh toán tỷ lệ dựa trên phần của mỗi người nắm giữ trong nhóm thanh khoản, được thể hiện bằng Token Pool Balancer (BPT). Thiết kế này đảm bảo tính công bằng, tránh việc phân chia tổn thất theo kiểu “cướp của người giàu chia cho người nghèo”.
Tác giả cho rằng, bồi thường cũng nên được trả bằng hình thức hàng hóa, nạn nhân của các cuộc tấn công mạng nên nhận được bồi thường được định giá bằng các token mà họ đã mất, nhằm tránh tình trạng sai lệch giá giữa các tài sản kỹ thuật số khác nhau. Chi tiết này là cực kỳ quan trọng, vì nếu bồi thường cho tất cả nạn nhân bằng một token duy nhất (như ETH hoặc USDC), có thể gây ra sự bất công mới do sự biến động giá của token. Ví dụ, một LP bị mất stablecoin nhưng nhận được bồi thường là tài sản có độ biến động, sự không khớp này có thể dẫn đến giá trị bồi thường thực tế không tương xứng với thiệt hại.
Hiện tại đang phát triển cơ chế bồi thường, nếu đề xuất được thông qua, người dùng sẽ phải chấp nhận các điều khoản sử dụng đã được cập nhật. Quy trình này dự kiến sẽ mất vài tuần để hoàn thiện các chi tiết kỹ thuật và khung pháp lý. Cơ chế bồi thường cần xác minh danh tính và số tiền thiệt hại của mỗi nạn nhân, điều này không phải là dễ dàng trong môi trường phi tập trung.
Ngoài ra, 19,7 triệu đô la osETH và osGNO đã được StakeWise thu hồi, sẽ được xử lý riêng biệt. Phần quỹ này liên quan trực tiếp đến người dùng của nền tảng StakeWise, vì vậy logic phân bổ của nó khác với LP thông thường. 4,1 triệu đô la được thu hồi phối hợp với Certora, do có thỏa thuận trước đó, không đủ điều kiện nhận thưởng. Điều này cho thấy Certora có thể là đối tác an ninh của Balancer, việc hỗ trợ thu hồi quỹ của họ dựa trên thỏa thuận hợp tác hiện có, thay vì chương trình thưởng trắng mũ.
Những thiếu sót hệ thống trong kiểm toán an ninh DeFi
Theo trang GitHub của nền tảng Balancer, mã nguồn của Balancer đã được bốn công ty an ninh blockchain khác nhau kiểm tra 11 lần. Mặc dù đã được kiểm toán, nền tảng này vẫn bị tấn công bởi hacker, điều này đã gây ra sự hoài nghi của một số người dùng tiền điện tử về giá trị của việc kiểm toán và liệu nó có thực sự đảm bảo an toàn cho mã nguồn hay không. Trường hợp này làm nổi bật những thiếu sót hệ thống hiện tại trong việc kiểm toán an ninh DeFi.
Công ty kiểm toán thường kiểm tra mã trong một khoảng thời gian và ngân sách hạn chế, họ chú ý đến các mô hình lỗ hổng đã biết và các vấn đề bảo mật phổ biến. Tuy nhiên, những lỗ hổng phức tạp đa chức năng như mà Balancer gặp phải có thể cần phải thực hiện các thử nghiệm động sâu và mô phỏng tấn công trên toàn bộ hệ thống để phát hiện. Hơn nữa, tính kịp thời của báo cáo kiểm toán cũng là một vấn đề, mã có thể tiếp tục được cập nhật sau khi kiểm toán, các thay đổi mới có thể tạo ra các lỗ hổng mới.
Vấn đề sâu xa hơn là ngành kiểm toán thiếu các tiêu chuẩn và cơ chế trách nhiệm thống nhất. Các công ty kiểm toán thường thêm các tuyên bố miễn trừ trách nhiệm vào báo cáo, cho biết việc kiểm toán không đảm bảo rằng mã hoàn toàn an toàn. Sự thiếu trách nhiệm này khiến cho ngay cả khi kiểm toán thất bại, các công ty kiểm toán cũng hiếm khi phải chịu hậu quả thực sự. Trường hợp của Balancer có thể thúc đẩy ngành xem xét lại các tiêu chuẩn kiểm toán và phân bổ trách nhiệm.
Báo cáo phân tích hậu kỳ được phát hành vào ngày 5 tháng 11 đã tiết lộ chi tiết kỹ thuật của cuộc tấn công. Thiết kế của hàm làm tròn nhằm mục đích làm tròn xuống khi nhập giá token, nhưng kẻ tấn công đã tìm cách can thiệp vào quá trình tính toán, khiến nó làm tròn lên. Kẻ tấn công đã kết hợp lỗ hổng này với giao dịch hàng loạt, từ đó đánh cắp tiền từ quỹ của Balancer. Cách tấn công này rất tinh vi, cần có sự hiểu biết sâu sắc về logic mã của Balancer và khả năng phát hiện hành vi bất ngờ phát sinh từ sự kết hợp của các chức năng khác nhau.