Vụ tấn công flash loan qua lỗi làm tròn số khiến nền tảng giao dịch phi tập trung mất hàng triệu USD

Bunni, nền tảng giao dịch phi tập trung (DEX), vừa công bố báo cáo phân tích sau vụ tấn công khiến tổn thất 8,4 triệu USD. Theo đó, lỗi làm tròn số trong hợp đồng thông minh là nguyên nhân chính, cho phép hacker lợi dụng để thực hiện flash loan và rút sạch vốn từ hai pool thanh khoản.

Theo báo cáo, hacker đã tấn công hai pool:

• weETH/ETH trên chuỗi Unichain.
• USDC/USDT trên mạng Ethereum chính.

Nguyên nhân được xác định là lỗi xử lý số dư rỗi (idle balance) khi rút tiền. Cụ thể, lỗi làm tròn số trong hàm BunniHubLogic::withdraw() khiến lượng thanh khoản giảm bất thường, tạo cơ hội cho hacker.

Quy trình tấn công gồm ba bước:

1. Vay flash loan: Hacker vay 3 triệu USDT qua flash loan, sau đó thực hiện giao dịch thao túng giá, giảm số dư USDC còn 28 wei.
2. Lợi dụng lỗi làm tròn: Hacker thực hiện 44 lần rút nhỏ, khiến số dư USDC bị rút cạn và thanh khoản tổng thể giảm mạnh.
3. Thao túng giá: Hacker thực hiện giao dịch lớn để đẩy giá lên cao, sau đó bán ngược lại ở mức giá bị thao túng, thu về 8,4 triệu USD.

Phản ứng của Bunni

Bunni cho biết đã cập nhật mã hợp đồng để sửa lỗi làm tròn số. Tuy nhiên, nền tảng vẫn đang kiểm tra để đảm bảo không có lỗ hổng mới.

• Khôi phục giao dịch: Rút tiền đã được mở lại sau khi công ty bảo mật Cyfrin xác nhận an toàn.
• Tạm dừng chức năng: Nạp tiền, giao dịch và các chức năng khác vẫn bị khóa để kiểm tra.

Bunni đã truy vết số tiền bị đánh cắp đến hai ví, nhưng không thể xác định danh tính do hacker sử dụng Tornado Cash (dịch vụ trộn tiền). Nền tảng đang đề nghị trả 10% số tiền bị mất cho hacker nếu họ hoàn trả lại số tiền còn lại.

Bunni thừa nhận: “Lỗi làm tròn từng phần an toàn khi tách biệt, nhưng khi kết hợp với nhiều thao tác, chúng tạo ra lỗ hổng.” Nền tảng cam kết phát triển khung kiểm thử để ngăn chặn các vụ tấn công tương tự.