Hợp đồng thông minh bị tạm dừng: Lỗ hổng bảo mật của DeFi bị phơi bày
- Sàn giao dịch phi tập trung Bunni đã tạm ngừng hoạt động các hợp đồng thông minh sau khi bị khai thác với số tiền 8.4 triệu USD, mục tiêu là các lỗ hổng thanh khoản cross-chain trên nhiều blockchain. - Kẻ tấn công đã thao túng cơ chế AMM để rút tài sản từ các chuỗi liên kết thông qua các giao dịch cross-chain chưa được xác thực. - Giao thức đã tạm dừng hoạt động để kiểm tra khẩn cấp, trong khi số tiền bị đánh cắp đã được chuyển đến các ví tập trung vào quyền riêng tư, gây khó khăn cho công tác thu hồi. - Sự cố này cho thấy rủi ro bảo mật của DeFi, bộc lộ những lỗ hổng trong kiểm toán hợp đồng thông minh và quản trị đối với các giao thức phát triển nhanh.
Giao thức Bunni DEX đã tạm thời đình chỉ các hợp đồng thông minh của mình sau một vụ khai thác nghiêm trọng dẫn đến việc mất khoảng 8.4 triệu USD tài sản. Sự cố này, được báo cáo trên nhiều mạng blockchain, đánh dấu một trong những vụ khai thác lớn nhất trong lĩnh vực sàn giao dịch phi tập trung (DEX) trong những tháng gần đây. Cuộc tấn công đã khai thác các lỗ hổng trong chức năng cross-chain của giao thức, cho phép kẻ tấn công rút tiền từ nhiều chuỗi cùng lúc [1].
Phân tích pháp y ban đầu cho thấy vụ khai thác nhắm vào cơ chế tạo lập thị trường tự động (AMM) của giao thức, vốn được sử dụng để hỗ trợ giao dịch mà không cần sổ lệnh truyền thống. Vụ khai thác liên quan đến việc thao túng tinh vi các pool thanh khoản, cho phép kẻ tấn công rút tài sản trên nhiều chuỗi liên kết trước khi lỗ hổng được phát hiện [2]. Một phân tích kỹ thuật chi tiết về vụ khai thác vẫn đang chờ đợi, nhưng các báo cáo ban đầu cho thấy lỗ hổng liên quan đến việc xử lý chuyển giao thanh khoản cross-chain và thiếu các cơ chế xác thực đầy đủ [3].
Để đối phó với sự cố, đội ngũ Bunni đã đưa ra tuyên bố khẩn cấp dừng toàn bộ hoạt động của hợp đồng thông minh nhằm ngăn chặn tổn thất thêm. Quyết định này được đưa ra sau khi kiểm toán nội bộ phát hiện vụ khai thác có thể bị lặp lại nếu các hợp đồng vẫn còn hoạt động. Trong một thông báo công khai trên mạng xã hội, đội ngũ nhấn mạnh rằng không có quỹ người dùng nào bị đóng băng một cách cố ý và việc tạm dừng chỉ là biện pháp phòng ngừa để bảo vệ nền tảng [4]. Đội ngũ cũng đã bắt đầu một cuộc điều tra nội bộ và đang hợp tác với các đơn vị kiểm toán bảo mật bên thứ ba để xác định nguyên nhân gốc rễ của lỗ hổng [5].
Tác động tài chính của vụ khai thác đã được báo cáo rộng rãi, với các công ty phân tích blockchain theo dõi chuyển động của tài sản bị đánh cắp trên nhiều chuỗi. Các quỹ bị đánh cắp được cho là đã được chuyển đến các ví liên kết với các sàn giao dịch trên dark web và các giao thức tập trung vào quyền riêng tư, khiến nỗ lực thu hồi trở nên khó khăn. Mặc dù các nhà nghiên cứu bảo mật blockchain đã cố gắng truy vết các giao dịch, nhưng lớp ẩn danh được bổ sung bởi việc sử dụng các đồng tiền riêng tư và mixer đã hạn chế khả năng theo dõi điểm đến cuối cùng của các quỹ [6].
Các quan sát viên trong ngành lưu ý rằng sự cố này làm nổi bật những thách thức bảo mật đang diễn ra trong hệ sinh thái tài chính phi tập trung (DeFi). Trong khi các giao thức DeFi tiếp tục thu hút dòng vốn lớn, những sự cố như thế này nhấn mạnh rủi ro liên quan đến việc triển khai nhanh cơ sở hạ tầng tài chính mới mà không có xác thực bảo mật kỹ lưỡng. Vụ khai thác cũng làm dấy lên lo ngại về hiệu quả của các thực tiễn kiểm toán hợp đồng thông minh hiện tại và sự cần thiết của các cơ chế quản trị mạnh mẽ hơn trong các giao thức phi tập trung [7].
Bunni vẫn chưa công bố thời gian cụ thể để khôi phục dịch vụ. Đội ngũ cho biết việc tạm dừng hợp đồng thông minh sẽ được duy trì cho đến khi bản vá bảo mật đầy đủ được triển khai và kiểm tra kỹ lưỡng. Trong thời gian này, giao thức khuyến nghị người dùng theo dõi ví của mình và báo cáo bất kỳ hoạt động đáng ngờ nào. Sự cố này là lời nhắc nhở rõ ràng về những lỗ hổng còn tồn tại trong không gian DeFi và tầm quan trọng của việc liên tục nâng cao bảo mật để bảo vệ tài sản người dùng [8].
Nguồn:
[1] title1 (url1)
[2] title2 (url2)
[3] title3 (url3)
[4] title4 (url4)
[5] title5 (url5)
[6] title6 (url6)
[7] title7 (url7)
[8] title8 (url8)
Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.
Bạn cũng có thể thích
Nhà sáng lập DFINITY Dominic: Trong kỷ nguyên đa chuỗi Web3, hướng đi nào cho Internet Computer?
Trên blockchain, mạng xã hội, trò chơi và metaverse đều sẽ được token hóa.
Lấy Taiko làm ví dụ để giải thích khái niệm Preconfirmation: Làm thế nào để giao dịch Ethereum hiệu quả hơn?
Bằng cách giới thiệu khái niệm Preconfirmation, Taiko và nhiều dự án Layer2 Based Rollup đang xây dựng một hệ thống xác nhận giao dịch, giúp người dùng xác nhận giao dịch nhanh chóng và đáng tin cậy hơn.
Aster công bố Cuộc thi Giao dịch trị giá hàng triệu đô la, kết hợp Airdrop Giai đoạn 4 với các ưu đãi Rocket Launch, thúc đẩy sự chấp nhận nền tảng và tăng trưởng.
Nền tảng giao dịch phi tập trung Aster đang bước vào giai đoạn mở rộng nhanh chóng. Sau khi đạt được kết quả ấn tượng ở Giai đoạn 3, Aster đã ngay lập tức triển khai kế hoạch airdrop Giai đoạn 4 (Harvest) và sẽ ra mắt cuộc thi giao dịch “Double Harvest” với tổng phần thưởng lên tới 10 triệu USD vào ngày 17 tháng 11, đồng thời tiếp tục mở rộng ma trận hoạt động của sản phẩm mới Rocket Launch. Nhiều chương trình khuyến khích được triển khai song song, giúp người dùng nhận được nhiều phần thưởng cùng lúc cho mỗi giao dịch, qua đó tăng đáng kể mức độ hoạt động và chiều sâu giao dịch trên nền tảng.
SOL đã chạm đáy chưa? Dữ liệu đa chiều tiết lộ bức tranh thực sự của Solana
Mặc dù các blockchain mới như Sui, Aptos, Sei liên tục phát triển, nhưng vẫn chưa tạo ra mối đe dọa thực sự đối với Solana. Ngay cả khi một phần lưu lượng bị chia sẻ cho các blockchain chuyên dụng cho ứng dụng, Solana vẫn giữ vững vị trí hàng đầu trong các blockchain đa năng.
Thịnh hành
ThêmGiá tiền điện tử
Thêm
