## Sự tăng trưởng của Bitcoin Staking phơi bày lỗ hổng đồng thuận ẩn trong Babylon Protocol

Khi Babylon củng cố vị thế thống trị trong lĩnh vực DeFi dựa trên Bitcoin với hơn 80% tổng giá trị bị khóa của BTCFi, một lỗi bảo mật mới được tiết lộ đã hé lộ những rủi ro nghiêm trọng tiềm ẩn trong hạ tầng staking. Vào ngày 8 tháng 12 năm 2025, cộng tác viên GrumpyLaurie55348 đã phát hiện ra một lỗi mở rộng bỏ phiếu có thể cho phép các validator gây crash các peer trong quá trình chuyển đổi epoch—phát hiện này nhấn mạnh cách mà các hệ sinh thái DeFi dựa trên Bitcoin ngày càng mở rộng nhanh chóng đòi hỏi cơ chế đồng thuận cực kỳ chắc chắn.

## Cơ chế đằng sau lỗ hổng mở rộng bỏ phiếu của Babylon

Tại trung tâm của giao thức staking của Babylon là BLS vote extension—một cơ chế được thiết kế để chứng minh bằng mã hóa sự đồng thuận của validator về các khối đề xuất. Trong hoạt động bình thường, các validator gửi các cam kết đã ký bao gồm một trường hash của khối, xác định rõ ràng khối mà họ ủng hộ.

Lỗ hổng xuất hiện vì các trường protobuf trong hệ thống này mặc định là tùy chọn. Lựa chọn thiết kế này vô tình tạo ra một lỗ hổng: các validator có thể gửi mở rộng bỏ phiếu trong khi cố ý bỏ qua trường hash của khối. Logic xác thực của mạng chấp nhận các tin nhắn không đầy đủ này thay vì từ chối chúng ngay lập tức.

Khi engine đồng thuận của Babylon sau đó xử lý các phiếu bầu bị lỗi này, nó cố truy cập dữ liệu hash khối bị thiếu. Điều này kích hoạt một lỗi dereference con trỏ null—một panic thời gian chạy khiến validator bị crash giữa chừng trong quá trình xác minh. Các đoạn mã bị ảnh hưởng bao gồm VerifyVoteExtension và các kiểm tra xác thực tại thời điểm đề xuất. Đặc biệt, các crash không xảy ra ngẫu nhiên mà lại đúng vào các thời điểm chuyển đổi boundary của epoch, khi các validator phối hợp thay đổi trạng thái trên toàn mạng.

## Tại sao các boundary của epoch lại quan trọng: Thời điểm gây gián đoạn

Chuyển đổi epoch đại diện cho một điểm nghẽn đồng thuận trong các mạng staking. Các validator phải đạt được sự đồng thuận đồng bộ để tiến tới epoch tiếp theo và tạo ra các khối boundary. Bất kỳ sự cố nào của validator trong khoảng thời gian này đều làm chậm quá trình tạo khối trên toàn chuỗi và gây ảnh hưởng đến toàn bộ quá trình đồng thuận.

Một tác nhân độc hại khai thác lỗi này có thể gửi các mở rộng bỏ phiếu được thiết kế đặc biệt để kích hoạt crash đúng vào các thời điểm quan trọng này. Khác với các cuộc tấn công nhắm vào các nguyên thủy mã hóa, lỗ hổng này hoạt động ở lớp xử lý đầu vào—không cần ký giả mạo, không cần chứng minh giả mạo, chỉ cần dữ liệu được xây dựng cẩn thận để khai thác cách validator phân tích dữ liệu.

Trong khi các nhà phát triển xác nhận không có hoạt động khai thác nào xảy ra tại thời điểm công bố, thì lỗ hổng vẫn còn tồn tại miễn là các node operator trì hoãn vá lỗi. Thông báo bảo mật của Babylon xếp hạng mức độ nghiêm trọng cao chính xác vì nó có thể làm gián đoạn đồng thuận mà không vi phạm mô hình bảo mật nền tảng của Bitcoin.

## Phản ứng của Babylon và câu hỏi về hạ tầng staking rộng lớn hơn

Babylon đã phát hành bản vá ở phiên bản 4.2.0, giới thiệu các quy tắc xác thực chặt chẽ hơn để từ chối các mở rộng bỏ phiếu không đúng định dạng. Tuy nhiên, sự cố này làm rõ một câu hỏi kiến trúc lớn hơn: khi TVL của Bitcoin DeFi tăng từ $307 triệu vào đầu năm 2024 lên hơn $6.5 tỷ vào cuối năm, liệu tốc độ đổi mới của các giao thức có vượt quá khả năng củng cố an ninh?

Lỗ hổng của Babylon nhấn mạnh cách các khung staking giới thiệu logic đồng thuận ngoài chuỗi hoàn toàn không có trong lớp nền của Bitcoin. Các mở rộng này chứng minh sự phối hợp của validator mà không cần bằng chứng trên chuỗi. Chúng hiệu quả, nhưng cũng là các bề mặt tấn công mới mà các nhà phát triển liên tục phát hiện và vá.

## Vai trò ngày càng lớn của Babylon trong tài chính Bitcoin

Thời điểm tiết lộ này trùng với sự gia tăng ảnh hưởng của Babylon trong hệ sinh thái DeFi mới nổi của Bitcoin. Vào ngày 7 tháng 1, giao thức đã huy động được $15 triệu từ a16z Crypto, dựa trên các vòng gọi vốn trước đó tổng cộng $103 triệu. Quỹ vốn này—bao gồm một vòng Series A trị giá $18 triệu và một vòng chiến lược trị giá $70 triệu từ Paradigm—phản ánh niềm tin của các nhà đầu tư vào hạ tầng staking dựa trên Bitcoin.

Quan hệ đối tác mới nhất của Babylon, được công bố vào tháng 12 năm 2025, kết hợp giao thức với Aave Labs để cho phép cho vay dựa trên Bitcoin trực tiếp trên Aave v4. Việc tích hợp này tận dụng thiết kế Bitcoin Vault của Babylon, loại bỏ nhu cầu về token wrapped hoặc các nhà quản lý thứ ba. Việc thử nghiệm bắt đầu vào Quý 1 năm 2026, dự kiến ra mắt vào tháng 4 năm 2026.

Sự mở rộng này nhấn mạnh lý do tại sao độ tin cậy của validator lại mang ý nghĩa toàn hệ sinh thái. Babylon hiện kiểm soát phần lớn vốn bị khóa trong tất cả các giao thức DeFi dựa trên Bitcoin. Các gián đoạn mạng không chỉ ảnh hưởng đến người dùng Babylon—chúng còn lan tỏa qua các thị trường cho vay, cơ chế thế chấp, và các chiến lược lợi nhuận downstream.

## Bài học cho các giao thức tăng trưởng nhanh

Lỗi của Babylon minh họa một mô hình lặp đi lặp lại trong hạ tầng blockchain mới nổi: các trường tùy chọn và các trường hợp ngoại lệ trong mã quan trọng của đồng thuận có thể dẫn đến các rủi ro vận hành đáng kể. Khi các khung staking trưởng thành và quản lý hàng tỷ đô la vốn của người dùng, các nhà phát triển phải đối mặt với các điều kiện thử nghiệm ngày càng thách thức.

Bản vá của Babylon đã khép lại lỗ hổng ngay lập tức. Tuy nhiên, việc tiết lộ này là một lời nhắc nhở rằng các mở rộng đồng thuận ngoài chuỗi, dù mạnh mẽ, cũng cần phải được kiểm tra nghiêm ngặt như các đảm bảo mã hóa của chính Bitcoin. Khi DeFi dựa trên Bitcoin tiếp tục phát triển—có khả năng vượt quá $10 tỷ TVL vào năm 2026—độ tin cậy của mạng trở thành nền tảng không thể thương lượng cho sự phát triển của hệ sinh thái.