Bunni DEX đối mặt với khoản lỗ 2,4 triệu đô la sau cuộc tấn công cân bằng lại thanh khoản
- Bunni DEX bị khai thác, thất thoát 2.4 triệu đô la do lỗ hổng logic thanh khoản thông qua Uniswap v4 hooks.
- Kẻ tấn công đã sử dụng các giao dịch với kích thước chính xác để phá vỡ các phép tính và rút cạn stablecoin.
- Các vụ hack tiền mã hóa tăng lên 163 triệu đô la trong tháng 8, cho thấy các mối đe dọa đang thay đổi trên thị trường số.
Sàn giao dịch phi tập trung Bunni đã mất khoảng 2.4 triệu đô la sau khi các kẻ tấn công khai thác lỗ hổng trong các hợp đồng thông minh trên Ethereum của họ. Dữ liệu onchain từ nhiều công ty bảo mật Web3 xác nhận sự mất mát của stablecoin USDC và USDT. Cuộc tấn công đã thao túng logic phân phối thanh khoản của Bunni, rút tiền vào một địa chỉ chứa 1.33 triệu đô la USDC và 1.04 triệu đô la USDT. Họ đã khai thác điểm yếu trong Liquidity Distribution Function (LDF), một tính năng được thiết kế để tối ưu hóa thanh khoản trên các dải giá.
Thành viên chủ chốt của Bunni, @Psaul26ix, đã kêu gọi người dùng rút tiền. “Nếu bạn có tiền trên Bunni, hãy rút ngay lập tức,” họ đăng tải. Cảnh báo này được đưa ra sau những lo ngại rằng kẻ tấn công có thể tiếp tục rút tài sản nếu thanh khoản vẫn còn trong các pool dễ bị tổn thương.
Sau đó, Bunni đã xác nhận vụ vi phạm trong một tuyên bố trên X. “Ứng dụng Bunni đã bị ảnh hưởng bởi một lỗ hổng bảo mật,” đội ngũ thông báo. Họ bổ sung rằng tất cả các chức năng hợp đồng thông minh trên các mạng đã bị tạm dừng như một biện pháp phòng ngừa.
Hooks và Bề Mặt Tấn Công Mở Rộng
Bunni hoạt động trên hệ thống hooks của Uniswap v4. CEO của Uniswap Labs, Hayden Adams, mô tả hooks là “plugin để tùy chỉnh cách các pool, swap, phí và vị trí LP tương tác.” Tính năng này cho phép các giao thức bổ sung chức năng độc đáo trên nền tảng của Uniswap.
Mặc dù Uniswap v4 bao gồm các tính năng nâng cao như flash accounting, kiến trúc singleton và hỗ trợ ETH gốc, hooks lại tạo ra các điểm tấn công mới. Vụ khai thác Bunni cho thấy việc tùy chỉnh, dù mạnh mẽ, có thể làm tăng rủi ro khi các cơ chế chưa được kiểm thử kỹ lưỡng.
Đồng sáng lập KyberNetwork, Victor Tran, đã giải thích cách thức hoạt động của vụ khai thác. “Kẻ khai thác nhận ra họ có thể thao túng LDF này bằng cách thực hiện các giao dịch với kích thước rất cụ thể,” ông viết trên X. Tran giải thích rằng các giao dịch này đã phá vỡ phép tính cân bằng lại, dẫn đến kết quả sai cho phần chia của nhà cung cấp thanh khoản.
Kẻ tấn công đã lặp lại vụ khai thác nhiều lần mà không kích hoạt cảnh báo ngay lập tức, từ từ rút hàng triệu đô la. Điều này cho thấy lỗ hổng trong logic tùy chỉnh có thể cho phép các cuộc tấn công lén lút vượt qua các hệ thống phát hiện tiêu chuẩn.
Những Lo Ngại An Ninh Rộng Hơn Trong DeFi
Chức năng thanh khoản của Bunni hoạt động thông qua Euler Finance, một thỏa thuận cho vay và đi vay cũng xây dựng các sản phẩm tài chính. Sau vụ tấn công, nhà sáng lập Euler, Michael Bentley, giải thích rằng Bunni đôi khi điều hướng thanh khoản vào/ra khỏi Euler, nhưng bản thân Euler không bị ảnh hưởng. Lời giải thích này nhằm đáp lại những lo ngại về nguy cơ lây lan trên diện rộng.
Một trong những điểm bán hàng lớn nhất của các sản phẩm DeFi mới là bổ sung các tính năng nâng cao như cân bằng tự động, cấu trúc phí linh hoạt và khả năng cung cấp vốn tức thì. Tuy nhiên, những đổi mới này thường mang lại các lỗ hổng mới, vì chúng hiếm khi được kiểm thử áp lực với các kịch bản tấn công thực tế.
Liên quan: Các vụ hack tiền mã hóa đạt 163 triệu đô la trong tháng 8 khi các cuộc tấn công tăng 15%
Để đối phó với những rủi ro này, các chuyên gia bảo mật nhấn mạnh tầm quan trọng của các biện pháp phòng ngừa. Các thực tiễn được khuyến nghị bao gồm kiểm toán chính thức, mô phỏng đối kháng, triển khai trì hoãn theo thời gian và các chương trình thưởng lỗi được tài trợ tốt. Các biện pháp này, theo các chuyên gia, là rất quan trọng đối với hooks và các tính năng khác thay đổi cách tính tài sản.
Sự cố của Bunni cũng phù hợp với một xu hướng lớn hơn. Theo PeckShield, hacker đã đánh cắp hơn 163 triệu đô la qua 16 vụ việc trong tháng 8, tăng 15% so với 142 triệu đô la của tháng 7. Mặc dù các vụ trộm vẫn thấp hơn 47% so với cùng kỳ năm trước, những kẻ tấn công dường như đang thay đổi chiến lược.
Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.
Bạn cũng có thể thích
Kỷ lục huy động vốn: Four.Meme tiếp tục dẫn đầu hình thành vốn on-chain trên BNB Chain như thế nào
Four.Meme tiếp tục dẫn đầu hoạt động huy động vốn trên chuỗi của BNB Chain với cơ chế Launchpad đa dạng, hiệu quả, công bằng và minh bạch, thiết lập nhiều kỷ lục lịch sử.
CoinShares chuẩn bị niêm yết công khai tại Mỹ thông qua sáp nhập SPAC trị giá 1.2 tỷ USD với Vine Hill niêm yết trên Nasdaq
Quick Take: Nhà quản lý tài sản crypto châu Âu CoinShares chuẩn bị niêm yết công khai tại Mỹ thông qua việc sáp nhập với công ty mua lại có mục đích đặc biệt Vine Hill, qua đó sẽ được niêm yết trên sàn Nasdaq. Thỏa thuận này định giá CoinShares ở mức 1.2 billions USD trước khi phát hành thêm cổ phiếu, đưa công ty trở thành một trong những nhà quản lý tài sản số lớn nhất được giao dịch công khai.
Các sản phẩm đầu tư tiền điện tử toàn cầu ghi nhận dòng tiền rút ra 352 triệu USD trong tuần qua dù triển vọng cắt giảm lãi suất của Fed được cải thiện: CoinShares
Dữ liệu nhanh: Các sản phẩm đầu tư tiền mã hóa toàn cầu đã ghi nhận dòng vốn rút ròng 352 triệu USD trong tuần trước, theo báo cáo từ nhà quản lý tài sản CoinShares. Trưởng bộ phận Nghiên cứu James Butterfill cho biết, số liệu việc làm yếu hơn và triển vọng cắt giảm lãi suất tại Mỹ được cải thiện cũng không thể thúc đẩy tâm lý thị trường.
Cảnh báo xanh: PENGU tăng giá 13% và khối lượng giao dịch tăng 359%, liệu đà tăng giá mạnh sắp tới?
Thịnh hành
ThêmGiá tiền điện tử
Thêm
