Cuộc Tấn Công Tài Chính Phi Tập Trung Của Bunni
Giao thức tài chính phi tập trung Bunni đã chịu một cuộc tấn công trị giá 8.4 triệu USD vào ngày 2 tháng 9, khi một kẻ tấn công tinh vi lợi dụng khoản vay flash để thao túng các bể thanh khoản trên cả Ethereum và Unichain. Sự cố này nhắm vào các bể weETH/ETH và USDC/USDT, và được quy cho một lỗi trong logic hợp đồng thông minh của Bunni liên quan đến lỗi làm tròn.
Bunni Đổ Lỗi Lỗi Làm Tròn Cho Cuộc Tấn Công 2.3 Triệu USD
Theo báo cáo sau sự cố của Bunni, cuộc tấn công diễn ra qua ba giai đoạn. Kẻ tấn công đầu tiên đã vay 3 triệu USDT thông qua một khoản vay flash, sử dụng số tiền này để thao túng giá giao ngay của bể USDC/USDT lên mức cực cao. Khi số dư USDC trong bể giảm xuống chỉ còn 28 wei, kẻ tấn công đã thực hiện 44 lần rút tiền nhỏ. Hành động này đã khai thác một lỗi làm tròn trong mã của Bunni, làm giảm thanh khoản của bể xuống hơn 84%. Với thanh khoản bị kìm hãm một cách nhân tạo, kẻ tấn công đã thực hiện một cuộc tấn công sandwich, thực hiện các giao dịch lớn khiến giá cả bị bóp méo. Bằng cách đảo ngược sự giảm thanh khoản trước đó, họ đã rút lợi nhuận trước khi trả lại khoản vay flash. Tổng cộng, cuộc tấn công đã mang lại khoảng 1.33 triệu USDC và 1 triệu USDT cho kẻ tấn công.
Công ty bảo mật blockchain Cyfrin xác nhận rằng lỗ hổng xuất phát từ cách mà hợp đồng thông minh của Bunni làm tròn số dư trong quá trình rút tiền. Mặc dù cơ chế này được thiết kế để ưu tiên an toàn cho bể bằng cách đánh giá thấp thanh khoản, nhưng việc rút tiền nhỏ lặp đi lặp lại đã tạo ra điều kiện cho logic làm tròn bị khai thác ở quy mô lớn.
Bunni lưu ý rằng bể lớn nhất của họ, cặp USDC/USD₮0 của Unichain, đã được miễn do không có đủ thanh khoản từ khoản vay flash để thực hiện một cuộc tấn công. Việc khai thác bể đó sẽ yêu cầu khoảng 17 triệu USD tài sản vay, nhưng chỉ có 11 triệu USD có sẵn trên các nền tảng cho vay vào thời điểm đó.
Bunni xác nhận rằng các tài sản bị đánh cắp hiện đang được chia thành hai ví liên kết với kẻ tấn công. Các nhà điều tra đã truy tìm nguồn gốc của các quỹ nhưng gặp bế tắc sau khi phát hiện rằng các ví này được tài trợ thông qua Tornado Cash, một công cụ bảo mật bị cấm. Nhóm đã liên hệ trực tiếp với kẻ tấn công trên chuỗi, đề nghị một phần thưởng 10% để đổi lấy việc trả lại các quỹ còn lại. Các sàn giao dịch tập trung cũng đã được thông báo để ngăn chặn bất kỳ nỗ lực nào rút tiền, trong khi cơ quan thực thi pháp luật đã được tham gia để theo đuổi các lựa chọn phục hồi.
Ngay sau sự cố, Bunni đã tạm dừng tất cả các hoạt động nhưng đã mở lại việc rút tiền để cho phép các nhà cung cấp thanh khoản lấy lại tiền gửi của họ. Các khoản tiền gửi và giao dịch vẫn bị đóng băng trong khi các nhà phát triển làm việc để sửa chữa. Việc thay đổi hướng làm tròn của chức năng bị ảnh hưởng sẽ trung hòa vector khai thác hiện tại, mặc dù nhóm đã thừa nhận cần nhiều thử nghiệm và cải tiến bảo mật hơn trước khi mở cửa trở lại hoàn toàn.
Bunni, được điều hành bởi một đội ngũ sáu người, cho biết họ vẫn cam kết tiếp tục phát triển mặc dù gặp phải trở ngại. Giao thức đã giới thiệu các khái niệm mới như Chức Năng Mật Độ Thanh Khoản (LDFs), mà nhóm tuyên bố đại diện cho một thế hệ mới của các nhà tạo lập thị trường tự động. “Chúng tôi đã dành nhiều năm để xây dựng Bunni vì chúng tôi tin rằng nó là tương lai của AMMs,” nhóm cho biết trong tuyên bố của mình, đồng thời cam kết củng cố mã nguồn và các khung thử nghiệm của mình để ngăn chặn các cuộc tấn công tương tự.
Tháng Tám Đánh Dấu Tháng Thứ Ba Tồi Tệ Nhất Về An Ninh Crypto
Khi 163 triệu USD bị mất do hack và lừa đảo, Bunni, từng có hơn 80 triệu USD giá trị tổng bị khóa (TVL) trên BNB Chain, hiện chỉ còn hơn 50 triệu USD sau cuộc tấn công. Sự cố này đã thêm vào một chuỗi các cuộc tấn công và lừa đảo đang đè nặng lên ngành. Chỉ một ngày trước đó, một người dùng Venus Protocol đã mất 13.5 triệu USD trong một vụ lừa đảo phishing. Theo công ty bảo mật blockchain PeckShield, nạn nhân đã vô tình phê duyệt một giao dịch độc hại, cấp quyền token cho phép việc đánh cắp. Trong khi các báo cáo ban đầu cho thấy 27 triệu USD đã bị rút, phân tích sau đó cho thấy rằng các vị thế nợ đã bị tính nhầm vào con số này. Venus nhấn mạnh rằng các hợp đồng thông minh của họ vẫn an toàn và xác nhận rằng chỉ có người dùng là bị xâm phạm.
Sự cố này diễn ra sau một đợt tăng đột biến trong các cuộc tấn công liên quan đến crypto vào tháng Tám, với dữ liệu của PeckShield cho thấy 163 triệu USD đã bị đánh cắp trong 16 cuộc tấn công lớn, tăng từ 142 triệu USD trong tháng Bảy. Các khoản lỗ đã khiến tháng Tám trở thành tháng tồi tệ thứ ba về an ninh crypto trong năm 2025. Vụ đánh cắp lớn nhất xảy ra vào ngày 19 tháng Tám, khi một người nắm giữ Bitcoin đã mất 783 BTC, trị giá 91.4 triệu USD, trong một kế hoạch kỹ thuật xã hội. Các kẻ tấn công được cho là đã giả mạo nhân viên hỗ trợ ví phần cứng để lấy được thông tin nhạy cảm trước khi rửa tiền thông qua Wasabi Wallet. Sàn giao dịch Thổ Nhĩ Kỳ BtcTurk cũng đã bị tấn công, mất 54 triệu USD trong một vụ vi phạm ví nóng đa chuỗi trên bảy mạng blockchain. Sự cố này đã đưa tổng số lỗ lũy kế của nó lên hơn 100 triệu USD sau một vụ hack trước đó vào tháng Sáu năm 2024. Các trường hợp đáng chú ý khác bao gồm khoản lỗ 7 triệu USD của ODIN•FUN, vụ khai thác 5 triệu USD của BetterBank.io, và sự sụp đổ 4.5 triệu USD của CrediX Finance, đã trở thành một vụ lừa đảo rút lui sau khi các nhà phát triển bỏ rơi dự án. Với việc phishing, lỗ hổng sàn giao dịch và các vụ lừa đảo rút lui đang gia tăng, tháng Tám đã làm nổi bật cách mà cả lỗi kỹ thuật và sai sót của con người tiếp tục ảnh hưởng đến ngành công nghiệp crypto.
