Giao thức tài chính phi tập trung Bunni đã bị khai thác 8,4 triệu đô la vào ngày 2 tháng 9 , sau khi một kẻ tấn công tinh vi lợi dụng Khoản vay nhanh để thao túng nhóm thanh khoản trên cả Ethereum và Unichain.
Sự cố nhắm vào nhóm weETH/ ETH và USDC/ USDT được cho là do lỗi trong logic hợp đồng thông minh của Bunni liên quan đến lỗi làm tròn.
Bunni đổ lỗi cho lỗi Rounding Bug gây ra lỗ hổng trị giá 2,3 triệu đô la, treo thưởng 10%
Theo Bunni, vụ khai thác được thực hiện qua ba giai đoạn. Đầu tiên, kẻ tấn công vay 3 triệu USDT thông qua một Khoản vay nhanh, dùng số tiền này để thao túng giá giao ngay của nhóm USDC/ USDT lên mức cực đoan.
Khi số dư USDC đang hoạt động của nhóm giảm xuống chỉ còn 28 wei, kẻ khai thác đã thực hiện 44 lần rút tiền nhỏ. Điều này đã khai thác lỗi làm tròn trong mã của Bunni, khiến thanh khoản của nhóm giảm hơn 84% một cách không cân xứng.
Với tính thanh khoản bị kìm hãm một cách giả tạo, kẻ tấn công đã thực hiện một cuộc tấn công xen kẽ, thực hiện các giao dịch hoán đổi lớn khiến giá bị bóp méo.
Bằng cách đảo ngược tình trạng giảm thanh khoản trước đó, chúng đã thu được lợi nhuận trước khi trả hết Khoản vay nhanh. Tổng cộng, vụ khai thác đã mang lại khoảng 1,33 triệu USDC và 1 triệu USDT cho kẻ tấn công.
Công ty bảo mật blockchain Cyfrin xác nhận rằng lỗ hổng bảo mật bắt nguồn từ cách hợp đồng thông minh của Bunni làm tròn số dư trong quá trình rút tiền.
Mặc dù cơ chế này được thiết kế để ưu tiên sự an toàn của nhóm bằng cách đánh giá thấp tính thanh khoản, nhưng việc rút tiền với số lượng nhỏ liên tục đã tạo ra các điều kiện cho phép logic làm tròn được khai thác ở quy mô lớn.
Bunni lưu ý rằng quỹ lớn nhất của họ, cặp USDC/USD₮0 của Unichain, đã được miễn trừ do không đủ thanh khoản cho vay nhanh để thực hiện một cuộc tấn công. Việc khai thác quỹ này sẽ cần khoảng 17 triệu đô la tài sản vay mượn, nhưng tại thời điểm đó, chỉ có 11 triệu đô la khả dụng trên các nền tảng cho vay.
Bunni xác nhận rằng số tài sản bị đánh cắp hiện được chia thành hai ví có liên quan đến kẻ tấn công. Các nhà điều tra đã truy tìm nguồn gốc của số tiền này nhưng đã đi vào ngõ cụt sau khi phát hiện ra các ví này được tài trợ thông qua Tornado Cash, một công cụ bảo mật đã được phê duyệt.
Nhóm đã liên hệ trực tiếp với kẻ khai thác on-chain, đề nghị mức tiền thưởng 10% để đổi lấy việc hoàn trả số tiền còn lại. Các sàn giao dịch tập trung cũng đã được thông báo để ngăn chặn bất kỳ nỗ lực rút tiền nào, trong khi cơ quan thực thi pháp luật đã được huy động để tìm kiếm các giải pháp phục hồi.
Ngay sau đó, Bunni đã tạm dừng mọi hoạt động nhưng đã kích hoạt lại chức năng rút tiền để các nhà cung cấp thanh khoản có thể thu hồi tiền gửi. Tiền gửi và giao dịch hoán đổi vẫn bị đóng băng trong khi các nhà phát triển đang nỗ lực khắc phục sự cố.
Việc thay đổi hướng làm tròn của hàm bị ảnh hưởng sẽ vô hiệu hóa vectơ khai thác hiện tại, mặc dù nhóm nghiên cứu thừa nhận cần phải thử nghiệm rộng rãi hơn và cải thiện bảo mật trước khi mở lại hoàn toàn.
Bunni, được điều hành bởi một nhóm sáu người, cho biết họ vẫn cam kết tiếp tục phát triển bất chấp sự cố này. Giao thức này đã giới thiệu các khái niệm mới như Hàm Mật độ Thanh khoản (LDF), mà nhóm này tuyên bố là đại diện cho một thế hệ nhà tạo lập thị trường tự động mới.
Nhóm nghiên cứu cho biết trong tuyên bố của mình: "Chúng tôi đã dành nhiều năm để xây dựng Bunni vì chúng tôi tin rằng đây chính là tương lai của AMM", đồng thời cam kết sẽ củng cố cơ sở mã và khuôn khổ thử nghiệm để ngăn chặn các cuộc tấn công tương tự.
Tháng 8 đánh dấu tháng thứ ba tồi tệ nhất đối với an ninh tiền điện tử khi mất 163 triệu đô la do tin tặc và lừa đảo
Bunni, từng tự hào với Tổng giá trị bị khóa (TVL) (Tổng giá trị khóa (TVL)) trên BNB Chuỗi lên đến hơn 80 triệu đô la, hiện chỉ nắm giữ hơn 50 triệu đô la sau vụ khai thác . Sự cố này là một phần trong chuỗi các vụ tấn công và lừa đảo đang tàn phá ngành này.
Chỉ một ngày trước đó, một người dùng Venus Protocol đã mất 13,5 triệu đô la trong một vụ lừa đảo phishing. Theo công ty bảo mật blockchain PeckShield, nạn nhân đã vô tình chấp thuận một giao dịch độc hại, cấp quyền Token cho phép hành vi trộm cắp.
Mặc dù các báo cáo ban đầu cho rằng 27 triệu đô la đã bị rút, nhưng phân tích sau đó cho thấy các khoản nợ đã bị tính nhầm vào số liệu. Venus nhấn mạnh rằng các hợp đồng thông minh của mình vẫn an toàn và xác nhận rằng chỉ có người dùng bị xâm phạm.
Sự cố này xảy ra sau một đợt gia tăng các vụ khai thác liên quan đến tiền điện tử vào tháng 8, với dữ liệu của PeckShield cho thấy 163 triệu đô la đã bị đánh cắp qua 16 cuộc tấn công lớn , tăng so với mức 142 triệu đô la của tháng 7. Những tổn thất này khiến tháng 8 trở thành tháng tồi tệ thứ ba về bảo mật tiền điện tử trong năm 2025.
Vụ trộm lớn nhất xảy ra vào ngày 19 tháng 8, khi một holder Bitcoin bị mất 783 BTC , trị giá 91,4 triệu đô la, thông qua một kế hoạch tấn công mạng xã hội. Những kẻ tấn công được cho là đã đóng giả làm nhân viên hỗ trợ ví phần cứng để lấy thông tin đăng nhập nhạy cảm trước khi rửa tiền thông qua Wasabi Wallet.
Sàn giao dịch BtcTurk của Thổ Nhĩ Kỳ cũng bị ảnh hưởng , mất 54 triệu đô la trong một vụ xâm nhập ví nóng Multi-Chain trên bảy mạng lưới blockchain. Sự cố này đã nâng tổng thiệt hại của sàn lên hơn 100 triệu đô la sau vụ tấn công trước đó vào tháng 6 năm 2024.
Các trường hợp đáng chú ý khác bao gồm khoản lỗ 7 triệu đô la của ODIN•FUN, khoản lỗ 5 triệu đô la của BetterBank.io và sự sụp đổ 4,5 triệu đô la của CrediX Finance , biến thành một Exit Scam sau khi các nhà phát triển từ bỏ dự án .
Với tình trạng lừa đảo, lỗ hổng giao dịch và lừa đảo thoát lệnh gây ra tổn thất ngày càng tăng, August đã nhấn mạnh rằng cả lỗi kỹ thuật và lỗi của con người vẫn tiếp tục gây ảnh hưởng đến ngành công nghiệp tiền điện tử.
