Bunni DEX đối mặt với khoản lỗ 2,4 triệu đô la sau cuộc tấn công cân bằng lại thanh khoản
- Bunni DEX bị khai thác, thất thoát 2.4 triệu đô la do lỗ hổng logic thanh khoản thông qua Uniswap v4 hooks.
- Kẻ tấn công đã sử dụng các giao dịch với kích thước chính xác để phá vỡ các phép tính và rút cạn stablecoin.
- Các vụ hack tiền mã hóa tăng lên 163 triệu đô la trong tháng 8, cho thấy các mối đe dọa đang thay đổi trên thị trường số.
Sàn giao dịch phi tập trung Bunni đã mất khoảng 2.4 triệu đô la sau khi các kẻ tấn công khai thác lỗ hổng trong các hợp đồng thông minh trên Ethereum của họ. Dữ liệu onchain từ nhiều công ty bảo mật Web3 xác nhận sự mất mát của stablecoin USDC và USDT. Cuộc tấn công đã thao túng logic phân phối thanh khoản của Bunni, rút tiền vào một địa chỉ chứa 1.33 triệu đô la USDC và 1.04 triệu đô la USDT. Họ đã khai thác điểm yếu trong Liquidity Distribution Function (LDF), một tính năng được thiết kế để tối ưu hóa thanh khoản trên các dải giá.
Thành viên chủ chốt của Bunni, @Psaul26ix, đã kêu gọi người dùng rút tiền. “Nếu bạn có tiền trên Bunni, hãy rút ngay lập tức,” họ đăng tải. Cảnh báo này được đưa ra sau những lo ngại rằng kẻ tấn công có thể tiếp tục rút tài sản nếu thanh khoản vẫn còn trong các pool dễ bị tổn thương.
Sau đó, Bunni đã xác nhận vụ vi phạm trong một tuyên bố trên X. “Ứng dụng Bunni đã bị ảnh hưởng bởi một lỗ hổng bảo mật,” đội ngũ thông báo. Họ bổ sung rằng tất cả các chức năng hợp đồng thông minh trên các mạng đã bị tạm dừng như một biện pháp phòng ngừa.
Hooks và Bề Mặt Tấn Công Mở Rộng
Bunni hoạt động trên hệ thống hooks của Uniswap v4. CEO của Uniswap Labs, Hayden Adams, mô tả hooks là “plugin để tùy chỉnh cách các pool, swap, phí và vị trí LP tương tác.” Tính năng này cho phép các giao thức bổ sung chức năng độc đáo trên nền tảng của Uniswap.
Mặc dù Uniswap v4 bao gồm các tính năng nâng cao như flash accounting, kiến trúc singleton và hỗ trợ ETH gốc, hooks lại tạo ra các điểm tấn công mới. Vụ khai thác Bunni cho thấy việc tùy chỉnh, dù mạnh mẽ, có thể làm tăng rủi ro khi các cơ chế chưa được kiểm thử kỹ lưỡng.
Đồng sáng lập KyberNetwork, Victor Tran, đã giải thích cách thức hoạt động của vụ khai thác. “Kẻ khai thác nhận ra họ có thể thao túng LDF này bằng cách thực hiện các giao dịch với kích thước rất cụ thể,” ông viết trên X. Tran giải thích rằng các giao dịch này đã phá vỡ phép tính cân bằng lại, dẫn đến kết quả sai cho phần chia của nhà cung cấp thanh khoản.
Kẻ tấn công đã lặp lại vụ khai thác nhiều lần mà không kích hoạt cảnh báo ngay lập tức, từ từ rút hàng triệu đô la. Điều này cho thấy lỗ hổng trong logic tùy chỉnh có thể cho phép các cuộc tấn công lén lút vượt qua các hệ thống phát hiện tiêu chuẩn.
Những Lo Ngại An Ninh Rộng Hơn Trong DeFi
Chức năng thanh khoản của Bunni hoạt động thông qua Euler Finance, một thỏa thuận cho vay và đi vay cũng xây dựng các sản phẩm tài chính. Sau vụ tấn công, nhà sáng lập Euler, Michael Bentley, giải thích rằng Bunni đôi khi điều hướng thanh khoản vào/ra khỏi Euler, nhưng bản thân Euler không bị ảnh hưởng. Lời giải thích này nhằm đáp lại những lo ngại về nguy cơ lây lan trên diện rộng.
Một trong những điểm bán hàng lớn nhất của các sản phẩm DeFi mới là bổ sung các tính năng nâng cao như cân bằng tự động, cấu trúc phí linh hoạt và khả năng cung cấp vốn tức thì. Tuy nhiên, những đổi mới này thường mang lại các lỗ hổng mới, vì chúng hiếm khi được kiểm thử áp lực với các kịch bản tấn công thực tế.
Liên quan: Các vụ hack tiền mã hóa đạt 163 triệu đô la trong tháng 8 khi các cuộc tấn công tăng 15%
Để đối phó với những rủi ro này, các chuyên gia bảo mật nhấn mạnh tầm quan trọng của các biện pháp phòng ngừa. Các thực tiễn được khuyến nghị bao gồm kiểm toán chính thức, mô phỏng đối kháng, triển khai trì hoãn theo thời gian và các chương trình thưởng lỗi được tài trợ tốt. Các biện pháp này, theo các chuyên gia, là rất quan trọng đối với hooks và các tính năng khác thay đổi cách tính tài sản.
Sự cố của Bunni cũng phù hợp với một xu hướng lớn hơn. Theo PeckShield, hacker đã đánh cắp hơn 163 triệu đô la qua 16 vụ việc trong tháng 8, tăng 15% so với 142 triệu đô la của tháng 7. Mặc dù các vụ trộm vẫn thấp hơn 47% so với cùng kỳ năm trước, những kẻ tấn công dường như đang thay đổi chiến lược.
Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.
Bạn cũng có thể thích
"Hoàn thành những điều này đúng hạn:" Đại diện Steil thúc giục các cơ quan quản lý về luật stablecoin trước thời hạn tháng 7 năm 2026
Đạo luật Hướng dẫn và Thiết lập Đổi mới cho Stablecoins Hoa Kỳ, gọi tắt là GENIUS, đã được thông qua thành luật vào mùa hè vừa qua. Tiếp theo, các cơ quan cần soạn thảo các quy định để thực hiện luật mới này. "Tôi chỉ muốn đảm bảo rằng chúng ta hoàn thành những việc này đúng thời hạn," Hạ nghị sĩ Bryan Steil phát biểu trong phiên điều trần hôm thứ Ba.
Mạng Astria Network dựa trên Celestia ngừng hoạt động mạng sequencer chia sẻ sau khi huy động được 18 triệu đô la
Theo nhóm phát triển, Astria đã “cố ý dừng hoạt động” tại khối số 15,360,577 vào thứ Hai. Dự án này, vốn hướng đến việc trở thành một lựa chọn sequencer phi tập trung dạng mô-đun cho các mạng Layer 2, đã từng bước loại bỏ các tính năng chính trong vài tháng gần đây.
Giá Hedera tăng 7% khi Vanguard Group với tài sản quản lý 11 nghìn tỷ USD ra mắt HBAR ETF
Hedera đã tăng 6,5% sau khi Vanguard xác nhận ra mắt ETF HBAR đầu tiên của mình, đánh dấu sự công nhận từ các tổ chức sau khi Canary Capital phê duyệt và thu hút dòng tiền vào trị giá 80,26 triệu đô la.
Paul Atkins: Miễn trừ đổi mới cho các công ty crypto sẽ được áp dụng vào tháng 1
Paul Atkins cho biết SEC sẽ công bố 'Miễn trừ Đổi mới' cho các công ty crypto bắt đầu từ tháng 1 năm sau.
Thịnh hành
ThêmGiá tiền điện tử
Thêm
