Một cuộc tấn công mới đã ảnh hưởng đến các quỹ LP trên Ethereum: giao thức Bunni, chuyên về quản lý thanh khoản, đã tạm thời tạm dừng các hợp đồng sau một lần rút tiền bất thường được ước tính khoảng từ 2,3 đến 2,4 triệu đô la – như đã được The Block báo cáo và phù hợp với các rủi ro được phân tích trong Báo cáo An ninh OpenZeppelin. Các phân tích ban đầu chỉ ra rằng lỗ hổng có thể đã khai thác một lỗ hổng trong chức năng phân phối thanh khoản, làm thay đổi không đúng cách các cổ phần LP.
Theo dữ liệu được thu thập bởi đội phân tích trên chuỗi của chúng tôi, cập nhật tính đến ngày 2 tháng 9 năm 2025, các giao dịch đáng ngờ cho thấy các mẫu lặp đi lặp lại và các khoản chuyển nhượng phân đoạn đến nhiều địa chỉ, phù hợp với một cuộc tấn công nhằm khai thác việc tái cân bằng. Các kiểm tra chéo của chúng tôi trên các trình khám phá công cộng cho thấy các khoản rút tiền được hiệu chỉnh bằng USDC và USDT lần lượt khoảng 1.33 triệu đô la và 1.04 triệu đô la. Các nhà phân tích trong ngành lưu ý rằng các lỗ hổng liên quan đến logic tái cân bằng và oracle là nguyên nhân xảy ra thường xuyên trong các sự cố DeFi gần đây.
Tóm lại: những gì chúng tôi biết cho đến nay về vụ hack Bunni DEX
Ai: Bunni, giao thức quản lý thanh khoản trên Ethereum.
Điều gì: Rút tiền từ hợp đồng thông minh và tạm ngừng hoạt động như một biện pháp an ninh phòng ngừa.
Dove: Mạng Ethereum, với các chuyển động có thể truy xuất trên chuỗi.
Khi: Sự kiện được phát hiện trong những ngày dẫn đến ngày 2 tháng 9 năm 2025; các cuộc điều tra vẫn đang diễn ra.
Cách: Thông qua việc thao tác các cơ chế cân bằng thanh khoản, dẫn đến các sai sót trong việc tính toán phần chia sẻ của LP.
Dòng thời gian sự kiện
Chuỗi thiết yếu
Phát hiện các chuyển động bất thường trong các pool với stablecoin, đặc biệt là USDC và USDT.
Thông báo chính thức từ đội ngũ, xác nhận sự cố và đình chỉ hợp đồng để giảm thiểu thiệt hại.
Phân tích chuỗi ban đầu: ước tính thiệt hại giữa khoảng 2.3 và 2.4 triệu đô la, với các giao dịch rút tiền lặp đi lặp lại và số tiền được điều chỉnh.
Khởi đầu các kiểm tra kỹ thuật về chức năng phân phối thanh khoản và cơ chế tái cân bằng.
Chi tiết trên chuỗi
Tài sản bị ảnh hưởng: stablecoin USDC ( khoảng 1,33 triệu đô la) và USDT ( khoảng 1,04 triệu đô la), tổng cộng lại gần ước tính tổng thiệt hại.
Mẫu: một loạt các giao dịch có mục tiêu với các số lượng được điều chỉnh để ép một sự cân bằng lại không thuận lợi cho các LP.
Địa chỉ và hàm băm: được xem xét bởi nhiều công ty phân tích blockchain, mặc dù các tham chiếu trực tiếp đến các trình khám phá vẫn chưa được công bố công khai.
Nhiều phương tiện truyền thông, bao gồm The Block và BitcoinEthereumNews, đã báo cáo về các yếu tố này, làm nổi bật các mẫu lặp lại của các giao dịch nghi ngờ trong những giờ trước khi đình chỉ các hợp đồng.
Cơ chế của sự dễ bị tổn thương
Cách thức Phân phối Thanh khoản Hoạt động
Bunni sử dụng chức năng phân phối thanh khoản cho phép vốn được phân bổ trong các khoảng giá cụ thể, tối ưu hóa lợi nhuận LP thông qua việc cân bằng lại do giao dịch gây ra. Mục tiêu là hạn chế sự quán tính của quỹ; tuy nhiên, cách tiếp cận này có thể mở ra các bề mặt tấn công mới nếu logic cân bằng lại không đủ mạnh.
Nơi Hệ thống Bị Kẹt
Bẻ cong đường cong thông qua các hoạt động giao dịch có mục tiêu và lặp đi lặp lại.
Tính toán các vị trí LP mà, sau khi cân bằng lại, dẫn đến cổ phần không chính xác.
Việc rút dần quỹ, được tổ chức để tránh việc kích hoạt các cơ chế tự động phòng thủ.
Về bản chất, một logic cân bằng không kiên cường đã cho phép kẻ tấn công khai thác giá trị từ các LP mà không kích hoạt ngay lập tức các cơ chế cảnh báo. Một khía cạnh thú vị là tính mô-đun của các khoản, cho thấy một chiến lược được điều chỉnh tinh vi.
Tác động và Số liệu
Ước tính tổn thất: khoảng 2.3–2.4 triệu đô la.
Tokens involved: USDC và USDT.
Trạng thái hoạt động: các hợp đồng đã bị tạm dừng và các chức năng thông minh hiện đang bị đình chỉ.
Điểm quan trọng: việc đếm cổ phần LP và quản lý thanh khoản trong quá trình tái cân bằng.
Phản ứng chính thức và bối cảnh
Nhóm Bunni đã thông báo về việc đình chỉ các hợp đồng như một biện pháp an ninh ngay lập tức, làm rõ rằng một phân tích sau sự cố đang được tiến hành để xác định và khắc phục lỗ hổng. Hiện tại, không có trích dẫn trực tiếp hoặc tuyên bố chính thức nào với dấu thời gian có thể xác minh đã được cung cấp; các cuộc điều tra đang tiếp tục và ưu tiên vẫn là bảo đảm các hợp đồng và thanh khoản còn lại.
Biện pháp giảm thiểu
Các cuộc kiểm toán đang diễn ra về các chức năng tái cân bằng và cơ chế kế toán LP, bao gồm các bài kiểm tra trong các tình huống đối kháng.
Giới hạn kích thước giao dịch có thể kích hoạt việc cân bằng nhạy cảm.
Triển khai bộ ngắt mạch và giám sát thời gian thực về độ trượt và biến động bất thường trong báo giá LP.
Sử dụng khóa thời gian cho các thay đổi quan trọng và áp dụng các hoạt động đa chữ ký cho các chức năng quản trị.
Tạo quỹ khẩn cấp hoặc bảo hiểm để giảm thiểu ảnh hưởng đến người dùng.
Các biện pháp đối phó này là thiết yếu trong quản lý rủi ro DeFi.
Hướng dẫn vận hành cho các giao thức thanh khoản
Thực hiện kiểm tra độ bền và mô phỏng các cuộc tấn công kinh tế trước khi phát hành chính thức.
Triển khai giới hạn tỷ lệ cho các chức năng ảnh hưởng đến đường phân phối.
Giám sát chủ động các chỉ số cảnh báo như trượt giá, thay đổi trong cổ phần LP, và dòng chảy bất ngờ đến ví.
Cập nhật định kỳ các quy trình phản ứng sự cố và các buổi diễn tập để xác thực hiệu quả của chúng.
Sử dụng các oracle đáng tin cậy và giới thiệu các rào cản toán học để ngăn chặn lỗi trong tính toán.
Các bước tiếp theo cho người dùng và nhà phát triển
Người dùng: Theo dõi cập nhật giao thức chính thức và kiểm tra nhật ký trên chuỗi để biết bất kỳ thay đổi nào trong các pool bị ảnh hưởng.
Các nhà phát triển: Hoàn thành báo cáo kỹ thuật, phát hành các bản vá tạm thời và lập kế hoạch kiểm toán độc lập tập trung vào chức năng quản lý thanh khoản và các tính toán LP.
Những gì cần theo dõi
Mã giao dịch và địa chỉ đã được xác nhận trên trình khám phá như Etherscan hoặc Blockscout để đảm bảo khả năng truy vết hoàn chỉnh.
Cập nhật về việc phát hành các bản vá và thời gian dự kiến cho việc tái kích hoạt các hợp đồng.
Báo cáo pháp y từ các công ty phân tích blockchain và kết quả kiểm toán công khai.
Có bất kỳ chương trình thưởng nào hoặc thỏa thuận nào cho việc hoàn trả các khoản tiền bị chiếm đoạt.
Kết luận
Cuộc tấn công vào Bunni cho thấy cách mà những đổi mới trong phân phối thanh khoản có thể tạo ra các bề mặt tấn công mới khi cơ chế tái cân bằng không đủ mạnh.
Sự kết hợp giữa việc thao tác đường cong và lỗi trong các phép toán LP đã tạo điều kiện cho việc rút khoảng 2.3–2.4 triệu đô la trong các stablecoin
Cần phải nói rằng ưu tiên hiện nay là hoàn thành một phân tích minh bạch sau sự cố, điều chỉnh logic quản lý thanh khoản và giới thiệu các biện pháp kiểm soát phòng ngừa nghiêm ngặt hơn.
Số và địa chỉ (tóm tắt)
Số tiền ước tính: khoảng 2.3–2.4 triệu đô la.
Token: USDC (khoảng 1.33M) và USDT (khoảng 1.04M).
Trạng thái: hợp đồng đang bị hoãn, cuộc điều tra đang diễn ra.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Bunni DEX đang bị tấn công: khoảng 2,4 triệu đô la trong stablecoin đã bị đánh cắp trên Ethereum, hợp đồng p...
Một cuộc tấn công mới đã ảnh hưởng đến các quỹ LP trên Ethereum: giao thức Bunni, chuyên về quản lý thanh khoản, đã tạm thời tạm dừng các hợp đồng sau một lần rút tiền bất thường được ước tính khoảng từ 2,3 đến 2,4 triệu đô la – như đã được The Block báo cáo và phù hợp với các rủi ro được phân tích trong Báo cáo An ninh OpenZeppelin. Các phân tích ban đầu chỉ ra rằng lỗ hổng có thể đã khai thác một lỗ hổng trong chức năng phân phối thanh khoản, làm thay đổi không đúng cách các cổ phần LP.
Theo dữ liệu được thu thập bởi đội phân tích trên chuỗi của chúng tôi, cập nhật tính đến ngày 2 tháng 9 năm 2025, các giao dịch đáng ngờ cho thấy các mẫu lặp đi lặp lại và các khoản chuyển nhượng phân đoạn đến nhiều địa chỉ, phù hợp với một cuộc tấn công nhằm khai thác việc tái cân bằng. Các kiểm tra chéo của chúng tôi trên các trình khám phá công cộng cho thấy các khoản rút tiền được hiệu chỉnh bằng USDC và USDT lần lượt khoảng 1.33 triệu đô la và 1.04 triệu đô la. Các nhà phân tích trong ngành lưu ý rằng các lỗ hổng liên quan đến logic tái cân bằng và oracle là nguyên nhân xảy ra thường xuyên trong các sự cố DeFi gần đây.
Tóm lại: những gì chúng tôi biết cho đến nay về vụ hack Bunni DEX
Ai: Bunni, giao thức quản lý thanh khoản trên Ethereum.
Điều gì: Rút tiền từ hợp đồng thông minh và tạm ngừng hoạt động như một biện pháp an ninh phòng ngừa.
Dove: Mạng Ethereum, với các chuyển động có thể truy xuất trên chuỗi.
Khi: Sự kiện được phát hiện trong những ngày dẫn đến ngày 2 tháng 9 năm 2025; các cuộc điều tra vẫn đang diễn ra.
Cách: Thông qua việc thao tác các cơ chế cân bằng thanh khoản, dẫn đến các sai sót trong việc tính toán phần chia sẻ của LP.
Dòng thời gian sự kiện
Chuỗi thiết yếu
Phát hiện các chuyển động bất thường trong các pool với stablecoin, đặc biệt là USDC và USDT.
Thông báo chính thức từ đội ngũ, xác nhận sự cố và đình chỉ hợp đồng để giảm thiểu thiệt hại.
Phân tích chuỗi ban đầu: ước tính thiệt hại giữa khoảng 2.3 và 2.4 triệu đô la, với các giao dịch rút tiền lặp đi lặp lại và số tiền được điều chỉnh.
Khởi đầu các kiểm tra kỹ thuật về chức năng phân phối thanh khoản và cơ chế tái cân bằng.
Chi tiết trên chuỗi
Tài sản bị ảnh hưởng: stablecoin USDC ( khoảng 1,33 triệu đô la) và USDT ( khoảng 1,04 triệu đô la), tổng cộng lại gần ước tính tổng thiệt hại.
Mẫu: một loạt các giao dịch có mục tiêu với các số lượng được điều chỉnh để ép một sự cân bằng lại không thuận lợi cho các LP.
Địa chỉ và hàm băm: được xem xét bởi nhiều công ty phân tích blockchain, mặc dù các tham chiếu trực tiếp đến các trình khám phá vẫn chưa được công bố công khai.
Nhiều phương tiện truyền thông, bao gồm The Block và BitcoinEthereumNews, đã báo cáo về các yếu tố này, làm nổi bật các mẫu lặp lại của các giao dịch nghi ngờ trong những giờ trước khi đình chỉ các hợp đồng.
Cơ chế của sự dễ bị tổn thương
Cách thức Phân phối Thanh khoản Hoạt động
Bunni sử dụng chức năng phân phối thanh khoản cho phép vốn được phân bổ trong các khoảng giá cụ thể, tối ưu hóa lợi nhuận LP thông qua việc cân bằng lại do giao dịch gây ra. Mục tiêu là hạn chế sự quán tính của quỹ; tuy nhiên, cách tiếp cận này có thể mở ra các bề mặt tấn công mới nếu logic cân bằng lại không đủ mạnh.
Nơi Hệ thống Bị Kẹt
Bẻ cong đường cong thông qua các hoạt động giao dịch có mục tiêu và lặp đi lặp lại.
Tính toán các vị trí LP mà, sau khi cân bằng lại, dẫn đến cổ phần không chính xác.
Việc rút dần quỹ, được tổ chức để tránh việc kích hoạt các cơ chế tự động phòng thủ.
Về bản chất, một logic cân bằng không kiên cường đã cho phép kẻ tấn công khai thác giá trị từ các LP mà không kích hoạt ngay lập tức các cơ chế cảnh báo. Một khía cạnh thú vị là tính mô-đun của các khoản, cho thấy một chiến lược được điều chỉnh tinh vi.
Tác động và Số liệu
Ước tính tổn thất: khoảng 2.3–2.4 triệu đô la.
Tokens involved: USDC và USDT.
Trạng thái hoạt động: các hợp đồng đã bị tạm dừng và các chức năng thông minh hiện đang bị đình chỉ.
Điểm quan trọng: việc đếm cổ phần LP và quản lý thanh khoản trong quá trình tái cân bằng.
Phản ứng chính thức và bối cảnh
Nhóm Bunni đã thông báo về việc đình chỉ các hợp đồng như một biện pháp an ninh ngay lập tức, làm rõ rằng một phân tích sau sự cố đang được tiến hành để xác định và khắc phục lỗ hổng. Hiện tại, không có trích dẫn trực tiếp hoặc tuyên bố chính thức nào với dấu thời gian có thể xác minh đã được cung cấp; các cuộc điều tra đang tiếp tục và ưu tiên vẫn là bảo đảm các hợp đồng và thanh khoản còn lại.
Biện pháp giảm thiểu
Các cuộc kiểm toán đang diễn ra về các chức năng tái cân bằng và cơ chế kế toán LP, bao gồm các bài kiểm tra trong các tình huống đối kháng.
Giới hạn kích thước giao dịch có thể kích hoạt việc cân bằng nhạy cảm.
Triển khai bộ ngắt mạch và giám sát thời gian thực về độ trượt và biến động bất thường trong báo giá LP.
Sử dụng khóa thời gian cho các thay đổi quan trọng và áp dụng các hoạt động đa chữ ký cho các chức năng quản trị.
Tạo quỹ khẩn cấp hoặc bảo hiểm để giảm thiểu ảnh hưởng đến người dùng.
Các biện pháp đối phó này là thiết yếu trong quản lý rủi ro DeFi.
Hướng dẫn vận hành cho các giao thức thanh khoản
Thực hiện kiểm tra độ bền và mô phỏng các cuộc tấn công kinh tế trước khi phát hành chính thức.
Triển khai giới hạn tỷ lệ cho các chức năng ảnh hưởng đến đường phân phối.
Giám sát chủ động các chỉ số cảnh báo như trượt giá, thay đổi trong cổ phần LP, và dòng chảy bất ngờ đến ví.
Cập nhật định kỳ các quy trình phản ứng sự cố và các buổi diễn tập để xác thực hiệu quả của chúng.
Sử dụng các oracle đáng tin cậy và giới thiệu các rào cản toán học để ngăn chặn lỗi trong tính toán.
Các bước tiếp theo cho người dùng và nhà phát triển
Người dùng: Theo dõi cập nhật giao thức chính thức và kiểm tra nhật ký trên chuỗi để biết bất kỳ thay đổi nào trong các pool bị ảnh hưởng.
Các nhà phát triển: Hoàn thành báo cáo kỹ thuật, phát hành các bản vá tạm thời và lập kế hoạch kiểm toán độc lập tập trung vào chức năng quản lý thanh khoản và các tính toán LP.
Những gì cần theo dõi
Mã giao dịch và địa chỉ đã được xác nhận trên trình khám phá như Etherscan hoặc Blockscout để đảm bảo khả năng truy vết hoàn chỉnh.
Cập nhật về việc phát hành các bản vá và thời gian dự kiến cho việc tái kích hoạt các hợp đồng.
Báo cáo pháp y từ các công ty phân tích blockchain và kết quả kiểm toán công khai.
Có bất kỳ chương trình thưởng nào hoặc thỏa thuận nào cho việc hoàn trả các khoản tiền bị chiếm đoạt.
Kết luận
Cuộc tấn công vào Bunni cho thấy cách mà những đổi mới trong phân phối thanh khoản có thể tạo ra các bề mặt tấn công mới khi cơ chế tái cân bằng không đủ mạnh.
Sự kết hợp giữa việc thao tác đường cong và lỗi trong các phép toán LP đã tạo điều kiện cho việc rút khoảng 2.3–2.4 triệu đô la trong các stablecoin
Cần phải nói rằng ưu tiên hiện nay là hoàn thành một phân tích minh bạch sau sự cố, điều chỉnh logic quản lý thanh khoản và giới thiệu các biện pháp kiểm soát phòng ngừa nghiêm ngặt hơn.
Số và địa chỉ (tóm tắt)
Số tiền ước tính: khoảng 2.3–2.4 triệu đô la.
Token: USDC (khoảng 1.33M) và USDT (khoảng 1.04M).
Trạng thái: hợp đồng đang bị hoãn, cuộc điều tra đang diễn ra.