تكبدت منصة Bunni DEX خسارة بقيمة 2.4 مليون دولار بعد هجوم إعادة توازن السيولة

• استغلال Bunni DEX استنزف 2.4 مليون دولار من خلال استهداف منطق السيولة عبر Uniswap v4 hooks.
• استخدم المهاجمون صفقات بأحجام دقيقة لكسر الحسابات واستنزاف العملات المستقرة.
• ارتفعت عمليات الاختراق في سوق العملات الرقمية إلى 163 مليون دولار في أغسطس، مما يظهر تغير التهديدات في الأسواق الرقمية.

خسر منصة التداول اللامركزي Bunni حوالي 2.4 مليون دولار بعد أن استغل المهاجمون ثغرات في العقود الذكية المبنية على Ethereum. أكدت بيانات السلسلة من عدة شركات أمن Web3 فقدان العملات المستقرة USDC وUSDT. استغل الهجوم منطق توزيع السيولة في Bunni، حيث تم تحويل الأموال إلى عنوان يحتوي على 1.33 مليون دولار من USDC و1.04 مليون دولار من USDT. استغل المهاجمون نقاط الضعف في وظيفة توزيع السيولة (LDF)، وهي ميزة مصممة لتحسين السيولة عبر نطاقات الأسعار.

حث المساهم الأساسي في Bunni @Psaul26ix المستخدمين على سحب أموالهم. "إذا كان لديك أموال على Bunni، قم بإزالتها في أسرع وقت ممكن"، كما نشر. جاء هذا التحذير بعد مخاوف من أن المهاجمين قد يستمرون في استنزاف الأصول إذا بقيت السيولة في المجمعات الضعيفة.

لاحقًا، أكدت Bunni الاختراق في بيان على منصة X. "تأثرت تطبيق Bunni باستغلال أمني"، أعلن الفريق. وأضافوا أنه تم إيقاف جميع وظائف العقود الذكية عبر الشبكات كإجراء احترازي.

Hooks وتوسيع سطح الهجوم

تعمل Bunni على نظام hooks الخاص بـ Uniswap v4. وصف الرئيس التنفيذي لشركة Uniswap Labs، Hayden Adams، hooks بأنها "إضافات لتخصيص كيفية تفاعل المجمعات، والصفقات، والرسوم، ومراكز مزودي السيولة." تتيح هذه الميزة للبروتوكولات إضافة وظائف فريدة فوق إطار عمل Uniswap.

على الرغم من أن Uniswap v4 يتضمن ميزات متقدمة مثل المحاسبة السريعة، والهندسة المعمارية الموحدة، ودعم ETH الأصلي، إلا أن hooks تخلق نقاط هجوم جديدة. أظهر استغلال Bunni كيف أن التخصيص، رغم قوته، يمكن أن يزيد من المخاطر عندما تفتقر الآليات للاختبار الشامل.

شرح المؤسس المشارك لـ KyberNetwork، Victor Tran، كيفية عمل الاستغلال. "اكتشف المستغل أنه يمكنه التلاعب بـ LDF من خلال إجراء صفقات بأحجام محددة جدًا"، كتب على X. أوضح Tran أن هذه الصفقات كسرت حساب إعادة التوازن، مما أدى إلى نتائج غير صحيحة لحصص مزودي السيولة.

كرر المهاجم الاستغلال عدة مرات دون إطلاق إنذارات فورية، مما أدى تدريجيًا إلى استنزاف ملايين الدولارات. أظهر ذلك كيف يمكن للثغرات في المنطق المخصص أن تسمح بهجمات خفية تتجاوز أنظمة الكشف القياسية.

مخاوف أمنية أوسع في DeFi

تعمل وظائف السيولة في Bunni من خلال Euler Finance، وهو اتفاقية إقراض واقتراض تبني أيضًا منتجات مالية. بعد الهجوم، أوضح مؤسس Euler، Michael Bentley، أن Bunni توجه السيولة إلى/من Euler أحيانًا، لكن Euler نفسها لم تتأثر. جاءت توضيحاته كرد على المخاوف من انتشار العدوى على نطاق أوسع.   

واحدة من أكبر نقاط البيع في إصدارات DeFi الحديثة هي إضافة ميزات متقدمة مثل إعادة التوازن التلقائي، وهياكل الرسوم المرنة، وتوفر رأس المال الفوري. لكن هذه الابتكارات غالبًا ما تقدم ثغرات جديدة، لأنها نادرًا ما يتم اختبارها ضد سيناريوهات الهجوم الواقعية. 

ذو صلة: اختراقات العملات الرقمية تصل إلى 163 مليون دولار في أغسطس مع ارتفاع الهجمات بنسبة 15%

لمعالجة مثل هذه المخاطر، يؤكد خبراء الأمن على أهمية التدابير الوقائية. تشمل الممارسات الموصى بها عمليات التدقيق الرسمية، والمحاكاة العدائية، والنشر المؤجل زمنيًا، وبرامج مكافآت اكتشاف الثغرات الممولة جيدًا. يشير الخبراء إلى أن هذه التدابير ضرورية للـ hooks والميزات الأخرى التي تغير محاسبة الأصول.

تندرج حادثة Bunni أيضًا ضمن اتجاه أوسع. وفقًا لـ PeckShield، سرق القراصنة أكثر من 163 مليون دولار عبر 16 حادثة في أغسطس، بزيادة 15% عن 142 مليون دولار في يوليو. على الرغم من أن السرقات لا تزال أقل بنسبة 47% على أساس سنوي، يبدو أن المهاجمين يغيرون استراتيجياتهم.