Na giełdzie BunniXYZ Ethereum doszło do serii nieautoryzowanych wypływów środków. Śledczy on-chain zidentyfikowali to zdarzenie jako atak hakerski, z łącznymi stratami około 2,3 mln dolarów.
BunniXYZ, zdecentralizowana giełda Ethereum, została wykorzystana poprzez jeden ze swoich smart kontraktów. Haker przeniósł głównie stablecoiny, co dało łączną stratę 2,3 mln dolarów.
Na podstawie historii transakcji , haker zaatakował skarbce USDT i USDC, a następnie przeniósł tokeny przez ekosystem Ethereum, kończąc z mieszanką ETH i stablecoinów. W ciągu pierwszych minut projekt BunniXYZ rozpoznał atak na swoją aplikację i zamknął wszystkie smart kontrakty.
Wkrótce po ataku, sprawca kontynuował wymianę środków na ETH poprzez inne protokoły DeFi.
W ciągu godziny po ataku haker nie przemieszczał ani nie mieszał środków, poza początkowymi ruchami przez protokoły DeFi. Atak na BunniXYZ jest częścią najnowszej serii stosunkowo niewielkich włamań, w których skradziono mniej niż 10 mln dolarów.
Nawet stosunkowo niewielkie ataki często kosztują protokoły reputację i niszczą nowe centra DeFi. Jednym z najnowszych exploitów smart kontraktów był atak na BetterBank, o czym informował Cryptopolitan reported . Takie ataki budzą podejrzenia o udział osób z wewnątrz lub złośliwy kod wstrzyknięty do Web3 przez hakerów z DPRK.
BunniXYZ zaatakowany na szczycie popularności
BunniXYZ to DEX korzystający zarówno z Ethereum, jak i Unichain. Nowy rynek wykorzystuje także technologię Uniswap V4 do tworzenia specjalnych skarbców i rynków z bardziej złożonymi zasadami handlu.
Podobnie jak inne rynki, BunniXYZ został zaatakowany wkrótce po osiągnięciu lokalnego szczytu wartości zablokowanych środków. Pod koniec sierpnia giełda posiadała do 60 mln dolarów w swoich skarbcach. Rynek był nadal stosunkowo mały, po uruchomieniu w lutym i znalezieniu swojego miejsca wśród nowych protokołów DeFi.
Sierpień był również jednym z najbardziej udanych miesięcy dla DEX, z wolumenem przekraczającym 1 mld dolarów. Giełda budowała płynność specjalnie pod rehypothecation , jednocześnie unikając likwidacji podczas spadków na rynku. Płynność DEX była również powiązana z Euler Protocol dla pasywnego dochodu.
BunniXYZ korzystał ze zwiększonych wolumenów Uniswap V4, ponieważ protokół przyciągnął ponad 393 mln dolarów do swoich skarbców na Ethereum i 298 mln dolarów na Unichain.
Haker wykorzystał sposób obliczania płynności przez BunniXYZ
Analiza po ataku wykazała, że BunniXYZ był podatny z powodu specyficznego kontraktu do ponownego obliczania płynności. DEX jest tzw. liquidity hookiem, korzystającym z technologii Uniswap V4. Jednak zamiast korzystać z obliczeń płynności Uniswap, BunniXYZ ponownie oblicza funkcję dystrybucji płynności (Liquidity Distribution Function).
Sprawca odkrył , że funkcja dystrybucji płynności może zostać złamana przez transakcje o określonych rozmiarach. Oznaczało to, że smart kontrakt wypłacał więcej tokenów z puli płynności niż faktycznie posiadał, co prowadziło do opróżnienia giełdy. Atakujący musiał powtórzyć wiele transakcji, aby ostatecznie zgromadzić 2,3 mln dolarów, a następnie wymienić je na ETH. Następnie zdeponował ETH w Aave, posiadając 1,33 mln dolarów w AethUSDC i 1 mln dolarów w AethUSDT na podstawie końcowego salda portfela.
BunniXYZ przeszedł wcześniejsze audyty, ale błąd LDF mógł pojawić się w późniejszej wersji giełdy. Najbardziej prawdopodobną przyczyną jest błąd precyzji, który wymagał od hakera wykonania wielu transakcji, aby zgromadzić większe saldo na podstawie wadliwego przeliczenia.
Jeśli to czytasz, jesteś już o krok przed innymi. Zostań tam z naszym newsletterem.
