Смарт-контракты приостановлены: выявлена уязвимость безопасности DeFi

Протокол Bunni DEX временно приостановил работу своих смарт-контрактов после крупной атаки, в результате которой было утрачено около 8.4 миллионов долларов в активах. Этот инцидент, зафиксированный в нескольких блокчейн-сетях, стал одной из крупнейших атак в секторе децентрализованных бирж (DEX) за последние месяцы. Взломщик воспользовался уязвимостями в кроссчейн-функционале протокола, что позволило ему одновременно выводить средства из нескольких сетей [1].

Первичный судебно-технический анализ показал, что атака была направлена на механизмы автоматизированного маркет-мейкера (AMM) протокола, которые используются для проведения сделок без традиционной книги ордеров. Взлом включал сложную манипуляцию пулами ликвидности, что позволило злоумышленнику вывести активы из нескольких взаимосвязанных сетей до того, как уязвимость была обнаружена [2]. Подробный технический разбор атаки пока отсутствует, однако предварительные отчеты указывают, что уязвимость была связана с обработкой кроссчейн-переводов ликвидности и отсутствием достаточных механизмов валидации [3].

В ответ на инцидент команда Bunni выпустила экстренное заявление о приостановке всей деятельности смарт-контрактов для предотвращения дальнейших потерь. Решение было принято после внутреннего аудита, который показал, что атака может быть повторена, если контракты останутся активными. В публичном заявлении в социальных сетях команда подчеркнула, что пользовательские средства не были намеренно заморожены, а приостановка — это мера предосторожности для обеспечения безопасности платформы [4]. Команда также начала внутреннее расследование и сотрудничает с независимыми аудиторами по безопасности для выявления первопричины уязвимости [5].

Финансовый ущерб от атаки широко освещается, аналитические компании по блокчейну отслеживают перемещение украденных активов по нескольким сетям. Сообщается, что украденные средства были переведены на кошельки, связанные с даркнет-биржами и протоколами, ориентированными на приватность, что затрудняет попытки их возврата. Несмотря на усилия исследователей в области блокчейн-безопасности по отслеживанию транзакций, анонимность, обеспечиваемая использованием приватных монет и миксеров, ограничила возможность отслеживания конечных пунктов назначения средств [6].

Эксперты отрасли отмечают, что этот инцидент подчеркивает продолжающиеся проблемы безопасности в экосистеме децентрализованных финансов (DeFi). Несмотря на то, что DeFi-протоколы продолжают привлекать значительные капиталы, подобные инциденты демонстрируют риски, связанные с быстрым внедрением новых финансовых инфраструктур без тщательной проверки безопасности. Атака также вызвала вопросы относительно эффективности текущих практик аудита смарт-контрактов и необходимости более надежных механизмов управления в децентрализованных протоколах [7].

Bunni пока не объявила сроки возобновления работы. Команда заявила, что приостановка смарт-контрактов останется в силе до внедрения и тщательного тестирования полного патча безопасности. Тем временем протокол призывает пользователей следить за своими кошельками и сообщать о любой подозрительной активности. Этот инцидент служит напоминанием о сохраняющихся уязвимостях в пространстве DeFi и важности постоянного совершенствования мер безопасности для защиты пользовательских активов [8].

Источник:

[1] title1 (url1)

[2] title2 (url2)

[3] title3 (url3)

[4] title4 (url4)

[5] title5 (url5)

[6] title6 (url6)

[7] title7 (url7)

[8] title8 (url8)