Zatrzymane smart kontrakty: ujawniona luka bezpieczeństwa DeFi

Protokół Bunni DEX tymczasowo zawiesił swoje smart kontrakty po znaczącym ataku, który doprowadził do utraty około 8,4 miliona dolarów w aktywach. Incydent, zgłoszony na wielu sieciach blockchain, stanowi jeden z największych exploitów w przestrzeni zdecentralizowanych giełd (DEX) w ostatnich miesiącach. Atak wykorzystał luki w funkcjonalności cross-chain protokołu, umożliwiając sprawcy wyprowadzenie środków z wielu łańcuchów jednocześnie [1].

Początkowa analiza kryminalistyczna wskazuje, że exploit był wymierzony w mechanikę automatycznego animatora rynku (AMM) protokołu, która służy do ułatwiania transakcji bez potrzeby tradycyjnej księgi zleceń. Atak polegał na zaawansowanej manipulacji pulami płynności, co pozwoliło napastnikowi na wyprowadzenie aktywów z kilku połączonych łańcuchów, zanim luka została zidentyfikowana [2]. Szczegółowa techniczna analiza exploita jest jeszcze w toku, ale wstępne raporty sugerują, że luka była związana z obsługą transferów płynności cross-chain i brakiem wystarczających mechanizmów walidacyjnych [3].

W odpowiedzi na incydent zespół Bunni wydał pilne oświadczenie, wstrzymując wszelką aktywność smart kontraktów, aby zapobiec dalszym stratom. Decyzja została podjęta po wewnętrznym audycie, który wykazał, że exploit mógłby zostać powtórzony, gdyby kontrakty pozostały aktywne. W publicznym ogłoszeniu w mediach społecznościowych zespół podkreślił, że żadne środki użytkowników nie zostały celowo zamrożone, a przerwa jest środkiem ostrożności mającym na celu zabezpieczenie platformy [4]. Zespół rozpoczął również wewnętrzne śledztwo i współpracuje z zewnętrznymi audytorami bezpieczeństwa, aby zidentyfikować pierwotną przyczynę luki [5].

Wpływ finansowy exploita został szeroko opisany, a firmy analityczne blockchain śledzą ruchy skradzionych aktywów na wielu łańcuchach. Skradzione środki zostały rzekomo przeniesione do portfeli powiązanych z giełdami dark web oraz protokołami skupionymi na prywatności, co utrudnia działania odzyskujące. Pomimo wysiłków badaczy bezpieczeństwa blockchain w celu śledzenia transakcji, warstwa anonimowości dodana przez użycie privacy coins i mikserów ograniczyła wgląd w ostateczne miejsca docelowe środków [6].

Obserwatorzy branżowi zauważyli, że ten incydent podkreśla trwające wyzwania związane z bezpieczeństwem w ekosystemie zdecentralizowanych finansów (DeFi). Chociaż protokoły DeFi nadal przyciągają znaczne napływy kapitału, takie incydenty uwypuklają ryzyka związane z szybkim wdrażaniem nowej infrastruktury finansowej bez gruntownej weryfikacji bezpieczeństwa. Exploit wzbudził również obawy dotyczące skuteczności obecnych praktyk audytu smart kontraktów oraz potrzeby bardziej solidnych mechanizmów zarządzania w zdecentralizowanych protokołach [7].

Bunni nie ogłosił jeszcze harmonogramu wznowienia usług. Zespół wskazał, że przerwa w działaniu smart kontraktów pozostanie w mocy do czasu wdrożenia i dokładnego przetestowania pełnej poprawki bezpieczeństwa. W międzyczasie protokół apeluje do użytkowników o monitorowanie swoich portfeli i zgłaszanie wszelkiej podejrzanej aktywności. Incydent ten stanowi wyraźne przypomnienie o lukach, które wciąż istnieją w przestrzeni DeFi, oraz o znaczeniu ciągłego podnoszenia poziomu bezpieczeństwa w celu ochrony aktywów użytkowników [8].

Źródło:

[1] title1 (url1)

[2] title2 (url2)

[3] title3 (url3)

[4] title4 (url4)

[5] title5 (url5)

[6] title6 (url6)

[7] title7 (url7)

[8] title8 (url8)