El exchange de Ethereum BunniXYZ Ethereum experimentó una serie de salidas no autorizadas. Investigadores on-chain identificaron el evento como un hackeo, con pérdidas de alrededor de $2.3M.
BunniXYZ, un exchange descentralizado de Ethereum, fue explotado a través de uno de sus contratos inteligentes. El hacker movió principalmente stablecoins, por una pérdida total de $2.3M.
Según el historial de transacciones , el hacker atacó las bóvedas de USDT y USDC, luego movió los tokens a través del ecosistema de Ethereum, terminando con una mezcla de ETH y stablecoins. En los primeros minutos, el proyecto BunniXYZ reconoció el ataque contra su aplicación, cerrando todos los contratos inteligentes.
Poco después del hackeo, el explotador continuó intercambiando fondos a ETH a través de otros protocolos DeFi.
En la hora posterior al ataque, el hacker aún no había movido ni mezclado los fondos, excepto por los movimientos iniciales a través de protocolos DeFi. El ataque contra BunniXYZ es parte de la última serie de hackeos relativamente menores, robando menos de $10M.
Incluso los ataques relativamente pequeños suelen costar la reputación de los protocolos y destruir nuevos hubs DeFi. Uno de los exploits de contratos inteligentes más recientes fue contra BetterBank, como informó Cryptopolitan reported . Estos ataques generan sospechas de trabajos internos o de código malicioso inyectado en Web3 por hackers de la RPDC.
BunniXYZ atacado en su punto máximo
BunniXYZ es un DEX que utiliza tanto Ethereum como Unichain. El nuevo mercado también utiliza la tecnología Uniswap V4 para crear bóvedas y mercados especiales con reglas de trading más complejasx trading.
Como en otros mercados, BunniXYZ fue atacado poco después de alcanzar un pico local de valor bloqueado. A finales de agosto, el exchange tenía hasta $60M en sus bóvedas. El mercado seguía siendo relativamente pequeño, tras su lanzamiento en febrero y encontrar su lugar entre los nuevos protocolos DeFi.
Agosto también fue uno de los meses más exitosos para el DEX, con más de $1B en volúmenes. El exchange estaba construyendo específicamente liquidez para rehypothecation , evitando liquidaciones durante caídas del mercado. La liquidez del DEX también estaba vinculada a Euler Protocol para ingresos pasivos.
BunniXYZ aprovechó los volúmenes expandidos de Uniswap V4, ya que el protocolo atrajo más de $393M a sus bóvedas en Ethereum y $298M en Unichain.
El hacker explotó el cálculo de liquidez de BunniXYZ
El análisis posterior al hackeo mostró que BunniXYZ era vulnerable debido a su contrato específico de recálculo de liquidez. El DEX es un liquidity hook, utilizando la tecnología Uniswap V4. Sin embargo, en lugar de usar el cálculo de liquidez de Uniswap, BunniXYZ recalcula la Liquidity Distribution Function.
El explotador descubrió que la Liquidity Distribution Function podía romperse con operaciones de tamaños específicos. Esto significaba que el contrato inteligente pagaría más tokens del pool de liquidez de los que realmente poseía, terminando por vaciar el exchange. El atacante tuvo que repetir múltiples transacciones para finalmente acumular $2.3M, luego intercambiarlos por ETH. Después, terminó depositando el ETH en Aave, manteniendo $1.33M en AethUSDC y $1M en AethUSDT según el saldo final de la wallet.
BunniXYZ ha pasado por auditorías previas, pero el bug de la LDF pudo haber llegado con una versión posterior del exchange. La causa más probable es un bug de precisión, que requirió que el hacker realizara múltiples transacciones para acumular un saldo mayor basado en el recálculo defectuoso.
Si estás leyendo esto, ya estás un paso adelante. Mantenete ahí con nuestro newsletter.
