شهدت منصة BunniXYZ Ethereum سلسلة من التدفقات غير المصرح بها. وقد حدد المحققون على السلسلة الحدث كاختراق، مع خسائر تقارب 2.3 مليون دولار.
تم استغلال BunniXYZ، وهي منصة تداول لامركزية على Ethereum، من خلال أحد عقودها الذكية. حيث قام المخترق بتحويل معظم الأموال إلى العملات المستقرة، ليصل إجمالي الخسائر إلى 2.3 مليون دولار.
استنادًا إلى سجل المعاملات ، هاجم المخترق خزائن USDT وUSDC، ثم نقل الرموز عبر نظام Ethereum البيئي، لينتهي به الأمر بمزيج من ETH والعملات المستقرة. خلال الدقائق الأولى، أدرك مشروع BunniXYZ الهجوم على تطبيقه، وقام بإغلاق جميع العقود الذكية.
بعد فترة وجيزة من الاختراق، واصل المستغل تحويل الأموال إلى ETH من خلال بروتوكولات DeFi أخرى.
في الساعة التي تلت الهجوم، لم يقم المخترق بعد بتحريك أو خلط الأموال، باستثناء التحركات الأولية عبر بروتوكولات DeFi. ويعد الهجوم على BunniXYZ جزءًا من سلسلة حديثة من الاختراقات الصغيرة نسبيًا، حيث تم سرقة أقل من 10 ملايين دولار.
حتى الهجمات الصغيرة نسبيًا غالبًا ما تكلف البروتوكولات سمعتها وتدمر مراكز DeFi الجديدة. كان أحد أحدث استغلالات العقود الذكية ضد BetterBank، كما ذكرت Cryptopolitan . تثير مثل هذه الهجمات الشكوك حول تورط أشخاص من الداخل، أو وجود شفرة خبيثة تم حقنها في Web3 بواسطة قراصنة DPRK.
تعرض BunniXYZ للهجوم عند الذروة
BunniXYZ هي منصة DEX تستخدم كل من Ethereum وUnichain. كما يستخدم السوق الجديد تقنية Uniswap V4 لإنشاء خزائن وأسواق خاصة بقواعد تداول أكثر تعقيدًاx trading.
وكما هو الحال مع الأسواق الأخرى، تعرضت BunniXYZ للهجوم بعد فترة وجيزة من وصولها إلى ذروة محلية في قيمة الأموال المقفلة. في نهاية أغسطس، كانت المنصة تحتفظ بما يصل إلى 60 مليون دولار في خزائنها. ولا يزال السوق صغيرًا نسبيًا، بعد إطلاقه في فبراير وإيجاد مكانه بين بروتوكولات DeFi الجديدة.
كان أغسطس أيضًا من أنجح الأشهر بالنسبة للمنصة، حيث تجاوزت أحجام التداول 1 مليار دولار. كانت المنصة تبني السيولة خصيصًا من أجل إعادة الرهن ، مع تجنب التصفية أثناء انخفاضات السوق. كما كانت سيولة DEX مرتبطة ببروتوكول Euler لتحقيق دخل سلبي.
استفادت BunniXYZ من أحجام التداول المتزايدة في Uniswap V4، حيث جذب البروتوكول أكثر من 393 مليون دولار إلى خزائنه على Ethereum و298 مليون دولار على Unichain.
استغل المخترق حسابات سيولة BunniXYZ
أظهرت التحليلات بعد الاختراق أن BunniXYZ كانت معرضة للخطر بسبب عقد إعادة حساب السيولة الخاص بها. المنصة هي عبارة عن liquidity hook، تستخدم تقنية Uniswap V4. ومع ذلك، وبدلاً من استخدام حساب السيولة الخاص بـ Uniswap، تقوم BunniXYZ بإعادة حساب دالة توزيع السيولة.
اكتشف المستغل أن دالة توزيع السيولة يمكن أن تنهار عند تنفيذ صفقات بأحجام معينة. وهذا يعني أن العقد الذكي سيدفع المزيد من الرموز من مجمع السيولة أكثر مما يملكه فعليًا، مما يؤدي في النهاية إلى استنزاف المنصة. كان على المهاجم تكرار عدة معاملات ليجمع في النهاية 2.3 مليون دولار، ثم قام بتحويلها إلى ETH. ثم قام بإيداع ETH في Aave، محتفظًا بـ 1.33 مليون دولار في AethUSDC و1 مليون دولار في AethUSDT بناءً على الرصيد النهائي للمحفظة.
خضعت BunniXYZ لعمليات تدقيق سابقة، لكن قد يكون خلل LDF قد ظهر في إصدار لاحق من المنصة. السبب الأكثر احتمالاً هو وجود خطأ في الدقة، مما تطلب من المخترق تنفيذ عدة معاملات لجمع رصيد أكبر بناءً على إعادة الحساب المعيبة.
إذا كنت تقرأ هذا، فأنت بالفعل في المقدمة. ابق هناك مع نشرتنا الإخبارية.
