Sàn phi tập trung (DEX) Bunni đã công bố báo cáo hậu kiểm về lỗ hổng gây thiệt hại 8,4 triệu đô la vào thứ Ba.
Theo báo cáo , lỗ hổng này ảnh hưởng đến hai nhóm — cặp weETH/ ETH trên Unichain và cặp USDC/ USDT trên mạng chính Ethereum.
Bunni đã xác định nguyên nhân gốc rễ của lỗ hổng là do lỗi hướng làm tròn trong hợp đồng thông minh dùng để cập nhật số dư nhàn rỗi trong quá trình rút tiền.
"Nguyên nhân chính của lỗ hổng này là sự sụt giảm thanh khoản sai do số tiền rút ra quá ít," báo cáo cho biết. "Nó bắt nguồn từ dòng lệnh này trong [BunniHubLogic::withdraw()], công cụ xử lý việc cập nhật số dư nhàn rỗi của nhóm."
Kẻ tấn công đã khai thác lỗi này để thực hiện một Tấn công cho vay nhanh nhằm thao túng giá và thanh khoản của nhóm, Bunni nói thêm.
Đầu tiên, chúng vay 3 triệu USDT thông qua một Khoản vay nhanh và thực hiện nhiều giao dịch hoán đổi để thao túng giá, khiến số USDC khả dụng giảm xuống chỉ còn 28 Wei. Sau đó, kẻ tấn công đã khai thác lỗi làm tròn với 44 lần rút tiền nhỏ, tiếp tục rút cạn số dư USDC và làm giảm tổng thanh khoản của nhóm một cách không cân xứng.
Ở bước cuối cùng, kẻ tấn công đã thực hiện một giao dịch hoán đổi lớn để tăng giá và sau đó thực hiện một giao dịch hoán đổi ngược ở mức giá bị thao túng, báo cáo cho biết.
"Tóm lại, tất cả các hướng làm tròn liên quan đều an toàn khi tách biệt, nhưng khi nhiều giao dịch được thực hiện, chúng sẽ dẫn đến một lỗ hổng", Bunni cho biết và cho biết thêm rằng họ đã cập nhật mã làm tròn để khắc phục lỗ hổng.
Nền tảng đã khôi phục hoạt động rút tiền trên tất cả các mạng sau khi công ty bảo mật blockchain Cyfrin tiến hành kiểm tra Fork , xác nhận tính an toàn của chúng. Tuy nhiên, các giao dịch gửi tiền, hoán đổi và các chức năng khác vẫn bị tạm dừng.
"Chúng tôi vẫn đang tìm hiểu những bản sửa lỗi cần thiết để Bunni an toàn trở lại", nền tảng cho biết. "Việc thay đổi hướng làm tròn của các bản cập nhật số dư nhàn rỗi sẽ ngăn chặn được lỗ hổng hiện tại, nhưng vẫn chưa rõ liệu thay đổi này có tạo ra các hướng tấn công mới hay không."
Đội ngũ Bunni cho biết họ đã lần ra số tiền bị đánh cắp đến hai ví nhưng không thể xác định được kẻ tấn công vì tiền đã được chuyển qua sàn giao dịch tiền điện tử Tornado Cash. Bunni sẽ thưởng cho kẻ tấn công 10% số tiền để trả lại số tiền còn lại, đồng thời hợp tác với cơ quan thực thi pháp luật và yêu cầu các sàn giao dịch tập trung đóng băng các tài khoản liên quan.
Bunni cho biết sẽ tiếp tục phát triển khuôn khổ thử nghiệm để khôi phục hoàn toàn nền tảng.
