Vụ việc Bunni DEX bị vi phạm làm nổi bật các lỗ hổng bảo mật của DeFi

Sàn giao dịch phi tập trung Bunni đã bị khai thác 2,3 triệu đô la trên blockchain Ethereum, làm lộ ra các lỗ hổng dai dẳng trong giao thức DeFi và nhấn mạnh thêm những lo ngại mới về bảo mật hợp đồng thông minh.

Vụ vi phạm, được phát hiện bởi công ty bảo mật blockchain Blocksec Phalcon, xảy ra vào thứ Ba và liên quan đến việc truy cập trái phép vào các hợp đồng thông minh dựa trên Ethereum của Bunni.

Trong khi phương pháp chính xác mà kẻ tấn công sử dụng vẫn đang được điều tra, dữ liệu của Etherscan cho thấy số tiền bị đánh cắp đã được chuyển đến địa chỉ nắm giữ 1,33 triệu đô la USDC và 1,04 triệu đô la USDT.

Để ứng phó với sự cố này, Bunni đã nhanh chóng tạm dừng mọi chức năng hợp đồng thông minh trên các mạng được hỗ trợ và thông báo trên X rằng một cuộc điều tra toàn diện đang được tiến hành.

Sau vụ khai thác này, Michael Bentley, đồng sáng lập kiêm giám đốc điều hành của Euler Labs, đã khuyên người dùng rút tiền khỏi Bunni ngay lập tức và làm rõ rằng trong khi Bunni cân bằng lại tiền với Euler, Euler vẫn không bị ảnh hưởng và an toàn.

Giao thức này nhấn mạnh sự an toàn của người dùng là ưu tiên hàng đầu và cam kết cung cấp thêm thông tin cập nhật khi có thêm thông tin.

Làm thế nào Bunni rơi vào bẫy hack

Trong khi các cuộc điều tra vẫn chưa có kết luận, các phân tích ban đầu đã chỉ ra một số lỗ hổng khiến Bunni dễ bị tin tặc tấn công.

Vì Bunni được xây dựng trên Uniswap v4, nó sử dụng một cơ chế tùy chỉnh được gọi là hàm Phân phối Thanh khoản thay vì logic mặc định của Uniswap. Cơ chế này cho phép Bunni tối ưu hóa việc phân bổ thanh khoản trên các phạm vi giá, nhằm mục đích tăng lợi nhuận cho các nhà cung cấp thanh khoản.

Tuy nhiên, Victor Tran, người đồng sáng lập Kybernetwork, cũng chỉ ra rằng loại hệ thống này cũng cho phép kẻ tấn công thao túng đường cong LDF bằng cách thực hiện các giao dịch có quy mô cụ thể gây ra logic tái cân bằng bị lỗi.

Trần vạch trần kịch bản có thể xảy ra, nói rằng

"Kẻ khai thác đã tìm ra cách thao túng LDF này bằng cách thực hiện các giao dịch với quy mô rất cụ thể. Chính những khoản tiền được lựa chọn kỹ lưỡng này đã khiến phép tính tái cân bằng bị phá vỡ, dẫn đến kết quả sai lệch về số lượng cổ phiếu LP mà mỗi người nắm giữ."

Một lỗ hổng lớn trong bảo mật DEX?

Một trong những điểm yếu lớn nhất của Bunni DEX là nền tảng này phụ thuộc rất nhiều vào tự động hóa hợp đồng thông minh cho các chức năng hàng ngày.

Việc DeFi phụ thuộc quá nhiều vào hợp đồng thông minh đã khiến các biện pháp bảo mật mạnh mẽ trở thành mối lo ngại thường trực. Theo báo cáo của CertiK, công ty kiểm toán bảo mật blockchain, các lỗ hổng trong mã nguồn trên chuỗi, cơ sở hạ tầng blockchain cơ bản, hoặc thậm chí là lỗi ngôn ngữ lập trình đã gây ra thiệt hại hơn 686 triệu đô la trên các giao thức DeFi chỉ riêng trong năm 2023.

Các chuyên gia từ Apex, một sàn giao dịch phi tập trung phái sinh, khuyến nghị người dùng chỉ nên tương tác với các hợp đồng đã được kiểm toán bởi các công ty uy tín và hạn chế quyền phê duyệt để giảm thiểu rủi ro rút tiền.

Những bước chủ động này rất quan trọng vì DeFi tiếp tục mở rộng và thu hút cả người dùng lẫn kẻ tấn công cơ hội.

Vá lỗ hổng bảo mật của DeFi

Vụ vi phạm Bunni là lời nhắc nhở rõ ràng rằng trong khi sự đổi mới DeFi đang diễn ra nhanh chóng, các tiêu chuẩn bảo mật cũng phải phát triển nhanh chóng không kém.

Theo quan điểm của tôi, thành công lâu dài của ngành sẽ phụ thuộc vào việc ưu tiên kiểm tra mã nghiêm ngặt, công bố minh bạch và tập trung không ngừng vào việc bảo vệ người dùng.

Khi các dự án DeFi ngày càng kết nối chặt chẽ hơn, một lỗ hổng bảo mật đơn lẻ có thể gây ra hậu quả lan rộng, nhấn mạnh nhu cầu cấp thiết về việc nâng cấp bảo mật liên tục để duy trì niềm tin và uy tín trong lĩnh vực này.