Sàn Giao Dịch Phi Tập Trung Bunni Bị Tấn Công
Sàn giao dịch phi tập trung Bunni đã trở thành nạn nhân của một vụ khai thác, mất khoảng 2.4 triệu USD trong stablecoin sau khi những kẻ tấn công thao túng các phép tính thanh khoản của nền tảng, theo dữ liệu on-chain từ nhiều công ty bảo mật Web3. Đội ngũ của Bunni xác nhận trên mạng xã hội X vào thứ Ba rằng:
“Ứng dụng Bunni đã bị ảnh hưởng bởi một lỗ hổng bảo mật. Như một biện pháp phòng ngừa, chúng tôi đã tạm dừng tất cả các chức năng hợp đồng thông minh trên tất cả các mạng. Đội ngũ của chúng tôi đang tích cực điều tra và sẽ cung cấp cập nhật sớm.”
Cuộc tấn công nhắm vào các hợp đồng thông minh dựa trên Ethereum của Bunni. Các quỹ đã bị rút về một địa chỉ giữ 1.33 triệu USD trong USDC và 1.04 triệu USD trong USDt. Một thành viên cốt lõi của Bunni đã khuyến cáo người dùng rút tiền khỏi nền tảng càng sớm càng tốt:
“Nếu bạn có tiền trên Bunni, hãy rút ngay lập tức,” họ viết trên X.
Bunni kênh thanh khoản thông qua Euler Finance, một nền tảng cho vay phi tập trung cho phép người dùng vay, cho vay và thiết kế các sản phẩm crypto có cấu trúc. Trong bối cảnh vụ khai thác, Michael Bentley, đồng sáng lập và CEO của Euler, đã làm rõ rằng giao thức này vẫn không bị ảnh hưởng bởi vụ tấn công. Cointelegraph đã liên hệ với Bunni và Euler để bình luận, nhưng chưa nhận được phản hồi trước khi bài viết được xuất bản.
Cách Bunni Trở Thành Nạn Nhân Của Vụ Hack
Mặc dù một bài phân tích kỹ thuật vẫn chưa hoàn thành, nhưng phân tích ban đầu từ các nhà phát triển và nhà nghiên cứu chỉ ra một lỗi trong cách Bunni xử lý việc cân bằng lại thanh khoản. Bunni, được xây dựng trên nền tảng Uniswap v4, sử dụng một cơ chế tùy chỉnh gọi là Chức năng Phân phối Thanh khoản (LDF) thay vì logic mặc định của Uniswap. Cơ chế này cho phép Bunni tối ưu hóa phân bổ thanh khoản trên các khoảng giá, nhằm tăng lợi nhuận cho các nhà cung cấp thanh khoản.
Theo Victor Tran, đồng sáng lập của KyberNetwork, kẻ tấn công đã có thể thao túng đường cong LDF bằng cách thực hiện các giao dịch với kích thước cụ thể, kích hoạt logic cân bằng lại sai. “Kẻ khai thác đã phát hiện ra rằng họ có thể thao túng LDF này bằng cách thực hiện các giao dịch với kích thước rất cụ thể,” Tran viết trên X. “Những số tiền được chọn cẩn thận này đã khiến phép tính cân bằng lại bị hỏng, đưa ra kết quả sai về số lượng mỗi LP nên sở hữu,” ông thêm vào. Kẻ tấn công dường như đã thực hiện vụ khai thác nhiều lần, dần dần rút tiền của giao thức mà không kích hoạt báo động ngay lập tức.
Các Vụ Hack Tiền Điện Tử Vượt Quá 163 Triệu USD Trong Tháng 8
Trong tháng 8, các hacker và lừa đảo tiền điện tử đã đánh cắp hơn 163 triệu USD qua 16 sự cố riêng biệt, đánh dấu mức tăng 15% so với 142 triệu USD của tháng 7. Mặc dù con số này vẫn thấp hơn 47% so với năm trước, nhưng nó phản ánh sự gia tăng đáng lo ngại trong các cuộc tấn công có mục tiêu khi các thị trường tiền điện tử đang tăng trưởng. PeckShield và các chuyên gia an ninh mạng khác đã lưu ý một sự thay đổi chiến lược trong hành vi của hacker, với việc những kẻ tấn công hiện tập trung vào các sàn giao dịch tập trung và các cá nhân có giá trị cao, thay vì các mục tiêu phi tập trung nhỏ hơn. Mất mát lớn nhất trong tháng 8 đến từ một cuộc tấn công kỹ thuật xã hội, nơi một người dùng Bitcoin đã bị lừa gửi 783 BTC (trị giá 91 triệu USD) cho những kẻ tấn công giả mạo là đại diện hỗ trợ từ một sàn giao dịch tiền điện tử và nhà cung cấp ví phần cứng.
