Sàn giao dịch phi tập trung (DEX) Bunni thông báo sẽ đóng cửa vĩnh viễn sau vụ hack 8,4 triệu USD hồi tháng trước. Các nhà sáng lập cho biết họ không có đủ vốn để khởi động lại an toàn — chỉ riêng chi phí kiểm toán và giám sát đã ở mức sáu đến bảy con số.
Bunni đưa ra quyết định vào thứ Tư, dẫn lý do chi phí phục hồi không thể kham nổi sau khi kẻ tấn công khai thác Liquidity Density Function (hàm mật độ thanh khoản) trên hai pool: weETH/ETH trên Unichain và USDC/USDT trên Ethereum.
Theo báo cáo post-mortem của Bunni, tổng cộng khoảng 8,4 triệu USD đã bị rút khỏi hai pool này. Số tiền bị đánh cắp sau đó đã được bridge sang Ethereum.
“Để đưa Bunni trở lại trạng thái trước vụ tấn công sẽ mất nhiều tháng phát triển và làm BD, điều mà chúng tôi không thể chi trả,” tài khoản X của DEX viết. “Vì vậy, chúng tôi quyết định tốt nhất là đóng cửa Bunni.”
Người dùng vẫn có thể rút tiền qua website trong khi đội ngũ hoàn tất thủ tục pháp lý cho việc phân phối ngân quỹ (treasury) — loại trừ các thành viên đội ngũ khỏi phần chi trả, theo thông báo.
“Vụ hack này cho thấy, không còn nghi ngờ gì nữa, rằng các logic thanh khoản tùy biến cần được kiểm thử toàn diện, vì flash loan tạo điều kiện cho các khai thác rủi ro thấp,” Kadan Stadelmann, CTO của Komodo Platform, nói với Decrypt.
Báo cáo hậu kiểm của Bunni mô tả ba bước chính trong khai thác: hoán đổi bằng vốn vay chớp nhoáng, thực hiện số lượng lớn rút tiền rất nhỏ, và sau đó là tấn công sandwich.