خسرت منصة التداول اللامركزية BunniXYZ مبلغ 8.4 مليون دولار في هجوم استغلال السيولة

أفادت التقارير أن منصة التداول اللامركزية (DEX) BunniXYZ خسرت 8.4 مليون دولار نتيجة استغلال أمني قائم على السيولة.

وفقًا لشركة الأمن على السلسلة Hacken، تم سرقة 6 ملايين دولار من أموال المنصة عبر بلوكتشين Unichain و2.4 مليون دولار عبر Ethereum. ثم تم تحويل جميع أموال Unichain إلى Ethereum باستخدام Across Protocol.

وأكدت BunniXYZ الهجوم في تغريدة، وقالت إنها أوقفت جميع أنشطة العقود الذكية على شبكتها وأنها "تجري تحقيقًا نشطًا" في ملابسات الهجوم. وأضافت أنها ستقدم تحديثات قريبًا.

تأسست BunniXYZ في فبراير 2025، وهي مبنية على صانع السوق الآلي Uniswap v4، وتستخدم بشكل أساسي بلوكتشين Ethereum وUnichain. يبلغ إجمالي القيمة المقفلة (TVL) عبر السلاسل حاليًا ما يزيد قليلاً عن 50 مليون دولار وفقًا لـ DeFiLlama، رغم أنه تجاوز 80 مليون دولار في وقت سابق من أغسطس الحالي.

نصح Michael Bentley، الشريك المؤسس لبروتوكول الإقراض Euler، المستخدمين بسحب أموالهم من Bunni في تغريدة، مضيفًا أنه بينما تعيد المنصة توازن الأموال داخل وخارج Euler، فإن بروتوكول الإقراض "غير متأثر أو معرض للخطر". وقد تعرض Euler نفسه لهجوم كبير في عام 2023 حيث سرق القراصنة ما يقرب من 200 مليون دولار، تم استرداد الجزء الأكبر منها لاحقًا.

ماذا حدث؟

وفقًا للمحلل على السلسلة Victor Tran، الشريك المؤسس لـ Kyber Network، قام القراصنة بالتلاعب بـ "منحنى السيولة" الخاص بـ Bunni، والمعروف أيضًا باسم LDF (دالة كثافة السيولة). هذا هو النظام الذي يحسب مقدار السيولة الإضافية الموجودة داخل المنصة ويعيد توازن مجمع السيولة للحفاظ على النسبة الصحيحة من الرموز.

قال Tran إن القراصنة تلاعبوا بهذا LDF "عن طريق إجراء صفقات بأحجام محددة جدًا". تسبب ذلك في تعطل حساب إعادة التوازن، مما أدى إلى نتائج غير صحيحة حول مقدار ما يجب أن يمتلكه كل سهم في مجمع السيولة.

من خلال تكرار هذه العملية، يُزعم أن القراصنة سحبوا رموزًا أكثر مما كان ينبغي أن يكون بإمكانهم سحبها من Bunni.

لم تؤكد Bunni نفسها بعد آلية الهجوم.