Theo phân tích blockchain, hacker đã nạp tiền vào ví thông qua Tornado Cash, mỗi lần chỉ 0,1 ETH , nhằm che giấu nguồn gốc dòng tiền. Conor Grogan - Giám đốc tại Coinbase, nhận định hacker có thể đã lưu trữ sẵn 100 ETH trong Tornado Cash từ những vụ hack trước đó. Việc không có bất kỳ giao dịch 100 ETH nào gần đây càng củng cố giả thuyết rằng toàn bộ kế hoạch đã được chuẩn bị từ rất lâu.
Balancer was hacked for ~$100M. Hacker seems experienced:
— Conor (@jconorgrogan) November 3, 2025
1. Seeded account via 100 ETH and 0.1 Tornado Cash deposits. No opsec leaks
2. Since there were no recent 100 ETH Tornado deposits, likely that exploiter had funds there from previous exploits pic.twitter.com/OQOpfKwzxv
Grogan cho rằng hành vi này cho thấy mức độ am hiểu sâu về bảo mật on-chain. Việc hacker không để lộ bất kỳ sai sót kỹ thuật (opsec leaks) nào là điều hiếm thấy, đặc biệt trong bối cảnh phần lớn các vụ hack trước đó đều để lại dấu vết dễ lần theo.
Trước tình hình này, Balancer đã đề nghị khoản thưởng 20% (white-hat bounty) nếu hacker trả lại toàn bộ số tiền bị đánh cắp. Đội ngũ phát triển cho biết họ đang phối hợp với các công ty bảo mật blockchain hàng đầu để phân tích nguyên nhân và sẽ công bố báo cáo điều tra chi tiết sớm nhất có thể.
Một trong những vụ tấn công tinh vi nhất năm
Theo Deddy Lavid - CEO công ty an ninh mạng Cyvers, vụ hack Balancer là một trong những vụ tấn công tinh vi nhất mà chúng tôi từng chứng kiến trong năm nay. Hacker đã vượt qua các lớp kiểm soát truy cập nội bộ, thao túng trực tiếp số dư tài sản trên giao thức, cho thấy lỗ hổng trong quản trị vận hành, chứ không phải do sai sót trong mã nguồn cốt lõi.
Lavid nhấn mạnh rằng các cuộc kiểm toán mã tĩnh truyền thống không còn đủ để đảm bảo an toàn cho các giao thức DeFi. Thay vào đó, ngành cần triển khai giám sát thời gian thực và cảnh báo động, để phát hiện bất thường trước khi tài sản bị rút sạch khỏi hợp đồng thông minh.
Báo cáo mới từ Chainalysis cho thấy nhóm hacker Lazarus của Triều Tiên cũng áp dụng chiến lược chuẩn bị dài hạn tương tự trước các vụ tấn công lớn. Dữ liệu cho thấy hoạt động tội phạm mạng của Lazarus giảm mạnh sau tháng 7/2024, thời điểm được cho là nhóm đang tái cấu trúc và chọn mục tiêu mới.
Hoạt động tấn công mạng của Triều Tiên trước và sau ngày 1 tháng 7Vụ hack sàn Bybit trị giá 1,4 tỷ USD là ví dụ điển hình: Lazarus mất 10 ngày để rửa toàn bộ số tiền thông qua THORChain, cho thấy khả năng tổ chức và kiểm soát quy trình cao.
Kết luận
Vụ hack Balancer không chỉ làm dấy lên lo ngại về lỗ hổng trong hệ sinh thái DeFi, mà còn cho thấy xu hướng chuyên nghiệp hóa trong các vụ tấn công blockchain. Khi hacker ngày càng tinh vi, các giao thức cần thay đổi cách tiếp cận, từ phản ứng thụ động sau sự cố sang chủ động giám sát và phòng ngừa liên tục.
Đọc thêm:
- BNB Chain công bố nguyên nhân vụ hack tài khoản X trị giá 13.000 USD
- Garden Finance bị hack hơn 10,8 triệu USD, nghi bị khai thác đa chuỗi
- Berachain tạm dừng mạng lưới và chuẩn bị Hark Fork khẩn cấp sau vụ hack Balancer
