Sàn giao dịch phi tập trung BunniXYZ mất 8,4 triệu đô la trong vụ khai thác thanh khoản
Sàn giao dịch phi tập trung (DEX) BunniXYZ được báo cáo đã mất 8.4 triệu đô la do một cuộc tấn công bảo mật dựa trên thanh khoản.
Theo công ty bảo mật on-chain Hacken, 6 triệu đô la trong số quỹ của DEX đã bị đánh cắp thông qua blockchain Unichain và 2.4 triệu đô la thông qua Ethereum. Toàn bộ số tiền trên Unichain sau đó đã được chuyển qua cầu nối sang Ethereum bằng Across Protocol.
Xác nhận vụ tấn công trong một bài đăng trên Twitter, BunniXYZ cho biết họ đã tạm dừng tất cả hoạt động smart contract trên mạng lưới của mình và đang “tích cực điều tra” các tình huống của vụ tấn công. Họ cũng cho biết sẽ sớm cung cấp các cập nhật mới.
🚨 Ứng dụng Bunni đã bị ảnh hưởng bởi một lỗ hổng bảo mật. Như một biện pháp phòng ngừa, chúng tôi đã tạm dừng tất cả chức năng smart contract trên mọi mạng lưới. Đội ngũ của chúng tôi đang tích cực điều tra và sẽ sớm cung cấp các cập nhật. Cảm ơn sự kiên nhẫn của các bạn.
Được thành lập vào tháng 2 năm 2025, BunniXYZ dựa trên automated market maker Uniswap v4, và chủ yếu sử dụng các blockchain Ethereum và Unichain. Theo DeFiLlama, hiện tại tổng giá trị khóa (TVL) cross-chain của dự án này chỉ hơn 50 triệu đô la, mặc dù đã từng vượt mốc 80 triệu đô la vào đầu tháng 8 vừa qua.
Michael Bentley, đồng sáng lập giao thức cho vay Euler, đã khuyên người dùng nên rút tiền khỏi Bunni trong một bài đăng trên Twitter, đồng thời cho biết mặc dù DEX này cân bằng lại các quỹ ra vào Euler, giao thức cho vay này “không bị ảnh hưởng hoặc gặp rủi ro.” Euler từng chịu một vụ tấn công lớn vào năm 2023 khiến hacker đánh cắp gần 200 triệu đô la, phần lớn số tiền này sau đó đã được thu hồi.
Chuyện gì đã xảy ra?
Theo nhà phân tích on-chain Victor Tran, đồng sáng lập Kyber Network, hacker đã thao túng “đường cong thanh khoản” của Bunni, còn gọi là LDF (Liquidity Density Function). Đây là hệ thống tính toán lượng thanh khoản bổ sung tồn tại trong sàn giao dịch và cân bằng lại pool thanh khoản để giữ tỷ lệ token phù hợp.
1. Bunni là một liquidity hook chạy trên UniswapV4. Thay vì sử dụng hệ thống thông thường của UniswapV4, Bunni có đường cong thanh khoản riêng gọi là LDF (Liquidity Distribution Function).
2. Sau mỗi giao dịch, Bunni kiểm tra xem đường cong LDF của mình có thay đổi so với giao dịch trước đó không. Nếu có,…
Tran cho biết hacker đã thao túng LDF này “bằng cách thực hiện các giao dịch với kích thước rất cụ thể.” Điều này khiến phép tính cân bằng lại bị phá vỡ, dẫn đến kết quả sai lệch về số lượng mỗi phần chia trong pool thanh khoản nên sở hữu.
Bằng cách lặp lại quá trình này, hacker được cho là đã rút nhiều token hơn mức họ đáng lẽ có thể từ Bunni.
Bunni hiện tại vẫn chưa xác nhận cơ chế đứng sau vụ tấn công.
Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.
Bạn cũng có thể thích
Khi các rạn nứt kinh tế ngày càng sâu sắc, bitcoin có thể trở thành "van xả áp" thanh khoản tiếp theo.
Tiền mã hóa là một trong số ít lĩnh vực không phụ thuộc vào ngân hàng hoặc chính phủ mà vẫn có thể lưu giữ và chuyển giao giá trị.
Tại sao 90% các dự án TGE đều kết thúc trong thất bại?
Để đảm bảo thành công cho TGE, cần phải chuẩn bị kỹ lưỡng những điều này trước.
Bộ Tư pháp Hoa Kỳ xác nhận tịch thu 15 triệu đô la liên quan đến APT38 sau các vụ trộm tiền điện tử năm 2023
Các hành động của DOJ đã phơi bày các mạng lưới cho phép các nhân viên IT Bắc Triều Tiên xâm nhập vào các công ty tại Hoa Kỳ. Năm bị cáo đã thừa nhận vai trò của mình trong các âm mưu gian lận danh tính ảnh hưởng đến hơn 136 công ty Hoa Kỳ. Hơn 15 triệu USDT bị tịch thu có liên quan đến các vụ trộm mạng của APT38 tại nhiều nền tảng crypto toàn cầu.
Thịnh hành
ThêmGiá tiền điện tử
Thêm
