การโจมตีโปรโตคอลการเงิน Bunni
โปรโตคอลการเงินแบบกระจายศูนย์ Bunni ประสบกับการโจมตีมูลค่า 8.4 ล้านดอลลาร์ เมื่อวันที่ 2 กันยายน หลังจากที่ผู้โจมตีที่มีความซับซ้อนได้ใช้สินเชื่อแบบฟลาชเพื่อจัดการสระสภาพคล่องทั้งใน Ethereum และ Unichain. เหตุการณ์นี้ซึ่งมุ่งเป้าไปที่สระ weETH/ETH และ USDC/USDT ถูกระบุว่าเกิดจากข้อบกพร่องในตรรกะของสมาร์ทคอนแทรคของ Bunni ที่เกี่ยวข้องกับข้อผิดพลาดในการปัดเศษ.
รายละเอียดการโจมตี
Bunni กล่าวหาข้อผิดพลาดในการปัดเศษว่าเป็นสาเหตุของการโจมตีมูลค่า 2.3 ล้านดอลลาร์ และเสนอรางวัล 10% ตามรายงานหลังเหตุการณ์ของ Bunni. การโจมตีถูกดำเนินการในสามขั้นตอน:
- ผู้โจมตีเริ่มต้นด้วยการกู้ยืม 3 ล้าน USDT ผ่านสินเชื่อแบบฟลาช โดยใช้มันในการจัดการราคาสปอตของสระ USDC/USDT ให้สูงขึ้นอย่างสุดขีด.
- เมื่อยอดคงเหลือ USDC ที่ใช้งานอยู่ในสระลดลงเหลือเพียง 28 wei ผู้โจมตีได้เริ่มถอนเงินขนาดเล็ก 44 ครั้ง ซึ่งได้ใช้ประโยชน์จากข้อผิดพลาดในการปัดเศษในโค้ดของ Bunni.
- เมื่อสภาพคล่องถูกกดดันอย่างเทียม ผู้โจมตีได้ดำเนินการโจมตีแบบแซนด์วิช โดยการทำการแลกเปลี่ยนขนาดใหญ่ที่ผลักดันราคาไปยังค่าที่บิดเบือน.
โดยรวมแล้วการโจมตีทำให้ผู้โจมตีได้รับประมาณ 1.33 ล้าน USDC และ 1 ล้าน USDT.
การวิเคราะห์และผลกระทบ
บริษัทความปลอดภัยบล็อกเชน Cyfrin ยืนยันว่าจุดอ่อนเกิดจากวิธีที่สมาร์ทคอนแทรคของ Bunni ปัดเศษยอดคงเหลือระหว่างการถอนเงิน. แม้ว่าเครื่องมือนี้ถูกออกแบบมาเพื่อสนับสนุนความปลอดภัยของสระโดยการประเมินสภาพคล่องต่ำเกินไป แต่การถอนเงินขนาดเล็กซ้ำๆ ได้สร้างเงื่อนไขที่ทำให้ตรรกะการปัดเศษถูกใช้ประโยชน์ในระดับใหญ่.
“เราลงทุนเวลากับการสร้าง Bunni เพราะเราเชื่อว่ามันคืออนาคตของ AMMs” ทีมงานกล่าวในแถลงการณ์.
Bunni ยืนยันว่าสินทรัพย์ที่ถูกขโมยตอนนี้ถูกแบ่งออกเป็นสองกระเป๋าที่เชื่อมโยงกับผู้โจมตี. นักสืบได้ติดตามแหล่งที่มาของเงินทุน แต่พบกับทางตันหลังจากค้นพบว่ากระเป๋าเงินได้รับเงินทุนผ่าน Tornado Cash ซึ่งเป็นเครื่องมือความเป็นส่วนตัวที่ถูกลงโทษ.
การตอบสนองและการฟื้นฟู
ทีมงานได้ติดต่อผู้โจมตีโดยตรงบนเชน โดยเสนอรางวัล 10% เพื่อแลกกับการคืนเงินที่เหลืออยู่. การแลกเปลี่ยนแบบรวมศูนย์ยังได้รับการแจ้งเตือนเพื่อป้องกันการพยายามถอนเงินในทางที่ผิด ขณะที่หน่วยงานบังคับใช้กฎหมายได้เข้ามาเกี่ยวข้องเพื่อดำเนินการฟื้นฟู.
ในทันทีหลังจากเหตุการณ์ Bunni ได้หยุดการดำเนินงานทั้งหมด แต่ได้เปิดใช้งานการถอนเงินอีกครั้งเพื่อให้ผู้ให้บริการสภาพคล่องสามารถกู้คืนเงินฝากของตนได้. การฝากและการแลกเปลี่ยนยังคงถูกแช่แข็งในขณะที่นักพัฒนากำลังทำงานเพื่อแก้ไข.
สถานการณ์ในวงกว้าง
เหตุการณ์นี้เพิ่มความต่อเนื่องของการโจมตีและการหลอกลวงที่กระทบต่อภาคส่วนนี้. สิงหาคมทำให้เป็นเดือนที่สามที่เลวร้ายที่สุดสำหรับความปลอดภัยของคริปโตเมื่อสูญเสีย 163 ล้านดอลลาร์ จากการโจมตีและการหลอกลวง. Bunni ซึ่งเคยมีมูลค่ารวมล็อค (TVL) มากกว่า 80 ล้านดอลลาร์ ใน BNB Chain ตอนนี้มีมูลค่ามากกว่า 50 ล้านดอลลาร์ หลังจากการโจมตี.
เหตุการณ์นี้ยังเกิดขึ้นหลังจากการเพิ่มขึ้นของการโจมตีที่เกี่ยวข้องกับคริปโตในเดือนสิงหาคม โดยข้อมูลจาก PeckShield แสดงให้เห็นว่ามีการขโมย 163 ล้านดอลลาร์ จากการโจมตีใหญ่ 16 ครั้ง.
