Hợp đồng thông minh bị tạm dừng: Lỗ hổng bảo mật của DeFi bị phơi bày

Giao thức Bunni DEX đã tạm thời đình chỉ các hợp đồng thông minh của mình sau một vụ khai thác nghiêm trọng dẫn đến việc mất khoảng 8.4 triệu USD tài sản. Sự cố này, được báo cáo trên nhiều mạng blockchain, đánh dấu một trong những vụ khai thác lớn nhất trong lĩnh vực sàn giao dịch phi tập trung (DEX) trong những tháng gần đây. Cuộc tấn công đã khai thác các lỗ hổng trong chức năng cross-chain của giao thức, cho phép kẻ tấn công rút tiền từ nhiều chuỗi cùng lúc [1].

Phân tích pháp y ban đầu cho thấy vụ khai thác nhắm vào cơ chế tạo lập thị trường tự động (AMM) của giao thức, vốn được sử dụng để hỗ trợ giao dịch mà không cần sổ lệnh truyền thống. Vụ khai thác liên quan đến việc thao túng tinh vi các pool thanh khoản, cho phép kẻ tấn công rút tài sản trên nhiều chuỗi liên kết trước khi lỗ hổng được phát hiện [2]. Một phân tích kỹ thuật chi tiết về vụ khai thác vẫn đang chờ đợi, nhưng các báo cáo ban đầu cho thấy lỗ hổng liên quan đến việc xử lý chuyển giao thanh khoản cross-chain và thiếu các cơ chế xác thực đầy đủ [3].

Để đối phó với sự cố, đội ngũ Bunni đã đưa ra tuyên bố khẩn cấp dừng toàn bộ hoạt động của hợp đồng thông minh nhằm ngăn chặn tổn thất thêm. Quyết định này được đưa ra sau khi kiểm toán nội bộ phát hiện vụ khai thác có thể bị lặp lại nếu các hợp đồng vẫn còn hoạt động. Trong một thông báo công khai trên mạng xã hội, đội ngũ nhấn mạnh rằng không có quỹ người dùng nào bị đóng băng một cách cố ý và việc tạm dừng chỉ là biện pháp phòng ngừa để bảo vệ nền tảng [4]. Đội ngũ cũng đã bắt đầu một cuộc điều tra nội bộ và đang hợp tác với các đơn vị kiểm toán bảo mật bên thứ ba để xác định nguyên nhân gốc rễ của lỗ hổng [5].

Tác động tài chính của vụ khai thác đã được báo cáo rộng rãi, với các công ty phân tích blockchain theo dõi chuyển động của tài sản bị đánh cắp trên nhiều chuỗi. Các quỹ bị đánh cắp được cho là đã được chuyển đến các ví liên kết với các sàn giao dịch trên dark web và các giao thức tập trung vào quyền riêng tư, khiến nỗ lực thu hồi trở nên khó khăn. Mặc dù các nhà nghiên cứu bảo mật blockchain đã cố gắng truy vết các giao dịch, nhưng lớp ẩn danh được bổ sung bởi việc sử dụng các đồng tiền riêng tư và mixer đã hạn chế khả năng theo dõi điểm đến cuối cùng của các quỹ [6].

Các quan sát viên trong ngành lưu ý rằng sự cố này làm nổi bật những thách thức bảo mật đang diễn ra trong hệ sinh thái tài chính phi tập trung (DeFi). Trong khi các giao thức DeFi tiếp tục thu hút dòng vốn lớn, những sự cố như thế này nhấn mạnh rủi ro liên quan đến việc triển khai nhanh cơ sở hạ tầng tài chính mới mà không có xác thực bảo mật kỹ lưỡng. Vụ khai thác cũng làm dấy lên lo ngại về hiệu quả của các thực tiễn kiểm toán hợp đồng thông minh hiện tại và sự cần thiết của các cơ chế quản trị mạnh mẽ hơn trong các giao thức phi tập trung [7].

Bunni vẫn chưa công bố thời gian cụ thể để khôi phục dịch vụ. Đội ngũ cho biết việc tạm dừng hợp đồng thông minh sẽ được duy trì cho đến khi bản vá bảo mật đầy đủ được triển khai và kiểm tra kỹ lưỡng. Trong thời gian này, giao thức khuyến nghị người dùng theo dõi ví của mình và báo cáo bất kỳ hoạt động đáng ngờ nào. Sự cố này là lời nhắc nhở rõ ràng về những lỗ hổng còn tồn tại trong không gian DeFi và tầm quan trọng của việc liên tục nâng cao bảo mật để bảo vệ tài sản người dùng [8].

Nguồn:

[1] title1 (url1)

[2] title2 (url2)

[3] title3 (url3)

[4] title4 (url4)

[5] title5 (url5)

[6] title6 (url6)

[7] title7 (url7)

[8] title8 (url8)