DEX Bunni bị tấn công hợp đồng thông minh, mất 2,3 triệu đô la

• Bunni DEX mất 2,3 triệu đô la trong stablecoin
• Khai thác xảy ra do lỗ hổng trong Chức năng Phân phối Thanh khoản
• Năm 2025 đã ghi nhận tổng thiệt hại hơn 3,1 tỷ đô la Mỹ

Sàn giao dịch phi tập trung Bunni xác nhận đã bị khai thác hợp đồng thông minh dẫn đến mất khoảng 2,3 triệu đô la trong stablecoin. Cuộc tấn công diễn ra vào ngày 2 tháng 9 đã khiến sàn phải tạm dừng tất cả các chức năng hợp đồng thông minh trên các mạng của mình như một biện pháp phòng ngừa.

"Ứng dụng của chúng tôi đã bị ảnh hưởng bởi một lỗ hổng bảo mật. Để phòng ngừa, chúng tôi đã tạm dừng tất cả chức năng hợp đồng thông minh trên tất cả các mạng. Đội ngũ của chúng tôi đang tích cực điều tra và sẽ sớm cập nhật thông tin," Bunni cho biết trong một bài đăng trên X.

🚨 Ứng dụng Bunni đã bị ảnh hưởng bởi một lỗ hổng bảo mật. Để phòng ngừa, chúng tôi đã tạm dừng tất cả chức năng hợp đồng thông minh trên tất cả các mạng. Đội ngũ của chúng tôi đang tích cực điều tra và sẽ sớm cập nhật thông tin. Cảm ơn sự kiên nhẫn của bạn.

— Bunni (@bunni_xyz) September 2, 2025

Công ty bảo mật BlockSec là một trong những đơn vị đầu tiên phát hiện hoạt động bất thường. Kẻ tấn công đã khai thác một lỗ hổng trong Chức năng Phân phối Thanh khoản (LDF), một tính năng độc đáo của Bunni được thiết kế để tối ưu hóa phân bổ trên các mức giá khác nhau và cho phép các chiến lược phức tạp hơn so với Uniswap tiêu chuẩn.

CẢNH BÁO! Hệ thống của chúng tôi đã phát hiện một giao dịch đáng ngờ nhắm vào hợp đồng của @bunni_xyz trên #Ethereum, và thiệt hại là khoảng 2,3 triệu đô la. Vui lòng hành động càng sớm càng tốt.

—BlockSec Phalcon (@Phalcon_xyz) September 2, 2025

Cuộc tấn công bao gồm nhiều giao dịch làm sai lệch logic cân bằng lại pool, cho phép rút nhiều token hơn số lượng có sẵn. Sau khi lặp lại quá trình này nhiều lần, kẻ tấn công đã hợp nhất số tiền vào một ví Ethereum duy nhất, hiện có 1,33 triệu đô la USDC và 1,04 triệu đô la USDT.

Sự cố xảy ra vào thời điểm quan trọng đối với Bunni, nền tảng vừa đạt tổng giá trị khóa là 60 triệu đô la và vượt mốc 1 tỷ đô la khối lượng giao dịch trong tháng 8. Ra mắt vào tháng 2, nền tảng này hoạt động trên cả Ethereum và Unichain, tận dụng công nghệ Uniswap V4.

Đây là cuộc tấn công lớn đầu tiên vào các giao thức DeFi trong tháng 9, sau tháng 8 với nhiều thiệt hại đáng kể. Chỉ riêng tháng trước, 16 sự cố đã gây ra tổng thiệt hại 163 triệu đô la, bao gồm vụ đánh cắp 91 triệu đô la từ một cá voi Bitcoin thông qua kỹ thuật xã hội và vụ tấn công 48 triệu đô la vào sàn giao dịch Thổ Nhĩ Kỳ BtcTurk.

Với vụ tấn công Bunni, tổng thiệt hại tích lũy trong năm 2025 đã vượt quá 3,1 tỷ đô la Mỹ, vượt qua con số 2,2 tỷ đô la ghi nhận trong toàn bộ năm 2024 và tiếp tục nhấn mạnh các rủi ro bảo mật vẫn còn thách thức lĩnh vực DeFi.