Sàn giao dịch phi tập trung BunniXYZ mất 8,4 triệu đô la trong vụ khai thác thanh khoản
Sàn giao dịch phi tập trung (DEX) BunniXYZ được báo cáo đã mất 8.4 triệu đô la do một cuộc tấn công bảo mật dựa trên thanh khoản.
Theo công ty bảo mật on-chain Hacken, 6 triệu đô la trong số quỹ của DEX đã bị đánh cắp thông qua blockchain Unichain và 2.4 triệu đô la thông qua Ethereum. Toàn bộ số tiền trên Unichain sau đó đã được chuyển qua cầu nối sang Ethereum bằng Across Protocol.
Xác nhận vụ tấn công trong một bài đăng trên Twitter, BunniXYZ cho biết họ đã tạm dừng tất cả hoạt động smart contract trên mạng lưới của mình và đang “tích cực điều tra” các tình huống của vụ tấn công. Họ cũng cho biết sẽ sớm cung cấp các cập nhật mới.
🚨 Ứng dụng Bunni đã bị ảnh hưởng bởi một lỗ hổng bảo mật. Như một biện pháp phòng ngừa, chúng tôi đã tạm dừng tất cả chức năng smart contract trên mọi mạng lưới. Đội ngũ của chúng tôi đang tích cực điều tra và sẽ sớm cung cấp các cập nhật. Cảm ơn sự kiên nhẫn của các bạn.
Được thành lập vào tháng 2 năm 2025, BunniXYZ dựa trên automated market maker Uniswap v4, và chủ yếu sử dụng các blockchain Ethereum và Unichain. Theo DeFiLlama, hiện tại tổng giá trị khóa (TVL) cross-chain của dự án này chỉ hơn 50 triệu đô la, mặc dù đã từng vượt mốc 80 triệu đô la vào đầu tháng 8 vừa qua.
Michael Bentley, đồng sáng lập giao thức cho vay Euler, đã khuyên người dùng nên rút tiền khỏi Bunni trong một bài đăng trên Twitter, đồng thời cho biết mặc dù DEX này cân bằng lại các quỹ ra vào Euler, giao thức cho vay này “không bị ảnh hưởng hoặc gặp rủi ro.” Euler từng chịu một vụ tấn công lớn vào năm 2023 khiến hacker đánh cắp gần 200 triệu đô la, phần lớn số tiền này sau đó đã được thu hồi.
Chuyện gì đã xảy ra?
Theo nhà phân tích on-chain Victor Tran, đồng sáng lập Kyber Network, hacker đã thao túng “đường cong thanh khoản” của Bunni, còn gọi là LDF (Liquidity Density Function). Đây là hệ thống tính toán lượng thanh khoản bổ sung tồn tại trong sàn giao dịch và cân bằng lại pool thanh khoản để giữ tỷ lệ token phù hợp.
1. Bunni là một liquidity hook chạy trên UniswapV4. Thay vì sử dụng hệ thống thông thường của UniswapV4, Bunni có đường cong thanh khoản riêng gọi là LDF (Liquidity Distribution Function).
2. Sau mỗi giao dịch, Bunni kiểm tra xem đường cong LDF của mình có thay đổi so với giao dịch trước đó không. Nếu có,…
Tran cho biết hacker đã thao túng LDF này “bằng cách thực hiện các giao dịch với kích thước rất cụ thể.” Điều này khiến phép tính cân bằng lại bị phá vỡ, dẫn đến kết quả sai lệch về số lượng mỗi phần chia trong pool thanh khoản nên sở hữu.
Bằng cách lặp lại quá trình này, hacker được cho là đã rút nhiều token hơn mức họ đáng lẽ có thể từ Bunni.
Bunni hiện tại vẫn chưa xác nhận cơ chế đứng sau vụ tấn công.
Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.
Bạn cũng có thể thích
Đếm ngược 50 ngày: Thị trường bò Bitcoin có thể bước vào chương cuối, các tín hiệu chu kỳ lịch sử đồng loạt cảnh báo
Tiền điện tử, cổ phiếu, trái phiếu: Góc nhìn về một chu kỳ đòn bẩy
Những ngộ nhận về Web3 Social: Chưa phân biệt rõ giữa mạng xã hội và cộng đồng, cùng với mô hình X to Earn đầy rủi ro thảm họa
Toàn bộ ngành công nghiệp Web3 đều có những quan điểm chủ quan và thiếu hiểu biết về lĩnh vực mạng xã hội.
Thịnh hành
ThêmGiá tiền điện tử
Thêm
