Alpha Crypto Intelligence

Trang chủ
AlphaView

🧩 Balancer hacker mất 20 triệu đô sau khi StakeWise “bẻ lái” lấy lại tiền

 Một trong những vụ hack lớn nhất tuần qua đã có cú plot twist hiếm gặp: hacker mất ngược 20 triệu đô cho chính dự án mà hắn vừa hack.

💥 Cú hack 128 triệu đô

Ngày hôm qua, Balancer, một giao thức thanh khoản (liquidity protocol) nổi tiếng trong DeFi, đã bị tấn công, mất khoảng 128 triệu USD.
Trong số tài sản bị đánh cắp có osETHosGNO — hai token thuộc nền tảng StakeWise, một giao thức liquid staking (staking thanh khoản).

⚡ StakeWise phản công

Chỉ vài giờ sau, StakeWise DAO tuyên bố đã thu hồi thành công 20 triệu USD tài sản bị đánh cắp, bao gồm 19 triệu đô osETH1,7 triệu đô osGNO.

Cách họ làm cực kỳ táo bạo — tận dụng một “lỗ hổng” trong cơ chế quyền sở hữu (controller) của hợp đồng thông minh (smart contract):
DAO của StakeWise có quyền tạm thời trở thành token controller, cho phép họ đốt (burn) số token trong ví hacker rồi mint (đúc) lại đúng lượng token đó cho chính mình. Sau đó, DAO thu hồi quyền này để trả hệ thống về trạng thái ban đầu.

=> Kết quả: hacker bị “bẻ lái” mất luôn 20 triệu đô, và số tiền này sẽ được StakeWise trả lại cho người dùng bị ảnh hưởng, theo tỷ lệ số dư trước khi vụ hack xảy ra.

🧠 Vấn đề lớn hơn: DeFi nhưng lại quá tập trung?

Dù kết quả là tích cực, vụ việc lại làm nổi bật một nghịch lý của DeFi:

“Phi tập trung (decentralized) — nhưng lại phụ thuộc vào vài người nắm multisig.”

Chức năng controller cho phép DAO can thiệp trực tiếp vào token supply. Về mặt an ninh là cứu cánh, nhưng về triết lý DeFi — nó phơi bày tính tập trung quyền lực.

StakeWise sau đó thừa nhận đây là lần đầu tiên (và hy vọng là lần cuối cùng) họ dùng quyền “emergency multisig”, đồng thời cam kết xóa chức năng này khỏi DAO vote để tránh lặp lại.

📊 Ý nghĩa thị trường

  • Thêm một vụ hack “khủng” trong năm 2025 — tổng số tiền bị đánh cắp từ crypto từ đầu năm đến nay đã vượt 2,2 tỷ đô, theo Chainalysis.

  • Dù StakeWise xử lý khéo, nhưng niềm tin vào các token có cơ chế controller tập trung chắc chắn sẽ bị đặt dấu hỏi.

  • Với nhà đầu tư on-chain, đây là ví dụ rõ ràng cho câu hỏi:

    “DeFi thực sự phi tập trung, hay chỉ là fintech có blockchain?”

💬 Nếu là tôi…

Tôi sẽ không vỗ tay vì việc thu hồi, mà sẽ audit governance model ngay lập tức:

  • Loại bỏ quyền controller khỏi DAO;

  • Dùng time-lock để mọi thay đổi đều có thời gian phản ứng;

  • Công khai post-mortem + transaction log cho cộng đồng xem.

Thu hồi 20 triệu là win. Nhưng nếu không thay đổi cấu trúc quản trị, lần sau “người bị hack” có thể không phải là hacker — mà là chính người dùng.

NextGen Digital... Welcome to WhatsApp chat
Howdy! How can we help you today?
Type here...
-->