Bunni DEX зазнав збитків у розмірі $2.4 млн після атаки на ребалансування ліквідності

• Експлойт Bunni DEX вивів $2,4 млн, націлившись на логіку ліквідності через Uniswap v4 hooks.
• Зловмисники використовували угоди точних розмірів, щоб порушити розрахунки та вивести стейблкоїни.
• Кількість криптовалютних зломів зросла до $163 млн у серпні, що свідчить про зміну загроз на цифрових ринках.

Децентралізована біржа Bunni втратила близько $2,4 млн після того, як зловмисники скористалися вразливостями в її смарт-контрактах на Ethereum. Дані з блокчейну від декількох Web3 компаній з безпеки підтвердили втрату стейблкоїнів USDC та USDT. Атака маніпулювала логікою розподілу ліквідності Bunni, виводячи кошти на адресу, яка містила $1,33 млн у USDC та $1,04 млн у USDT. Зловмисники використали слабкі місця у Liquidity Distribution Function (LDF), функції, призначеної для оптимізації ліквідності в різних цінових діапазонах.

Основний учасник Bunni @Psaul26ix закликав користувачів вивести кошти. “Якщо у вас є гроші на Bunni, заберіть їх якнайшвидше,” написав він. Це попередження з’явилося після занепокоєння, що зловмисники можуть продовжити виведення активів, якщо ліквідність залишиться у вразливих пулах.

Згодом Bunni підтвердили злам у заяві на X. “Додаток Bunni постраждав від експлойту безпеки,” повідомила команда. Вони додали, що всі функції смарт-контрактів у мережах були призупинені як запобіжний захід.

Hooks та розширення площини атаки

Bunni працює на системі hooks Uniswap v4. CEO Uniswap Labs Hayden Adams описав hooks як “плагіни для налаштування взаємодії пулів, свопів, комісій та позицій LP.” Ця функція дозволяє протоколам додавати унікальні можливості поверх фреймворку Uniswap.

Хоча Uniswap v4 включає розширені функції, такі як flash accounting, singleton architecture та нативна підтримка ETH, hooks створюють нові точки атаки. Експлойт Bunni продемонстрував, як кастомізація, хоч і потужна, може підвищити ризики, якщо механізми недостатньо протестовані.

Співзасновник KyberNetwork Victor Tran детально описав, як працював експлойт. “Зловмисник зрозумів, що може маніпулювати цим LDF, здійснюючи угоди дуже конкретних розмірів,” написав він у X. Tran пояснив, що ці угоди порушували розрахунок ребалансування, створюючи неправильні результати для часток постачальників ліквідності.

Зловмисник повторював експлойт кілька разів, не викликаючи негайних тривог, поступово виводячи мільйони. Це показало, як вразливості у кастомній логіці дозволяють приховані атаки, що обходять стандартні системи виявлення.

Ширші питання безпеки у DeFi

Ліквідність Bunni функціонує через Euler Finance, яка є угодою про кредитування та позики, а також створює фінансові продукти. Після атаки засновник Euler Michael Bentley пояснив, що Bunni час від часу направляє ліквідність у/з Euler, але сам Euler не постраждав. Його пояснення було відповіддю на занепокоєння щодо можливого масштабного поширення проблеми.   

Однією з головних переваг нових релізів DeFi є додавання розширених функцій, таких як автоматичне ребалансування, гнучкі структури комісій та миттєва доступність капіталу. Але ці інновації часто створюють нові вразливості, оскільки рідко проходять стрес-тестування у реальних сценаріях атак. 

Пов’язано: Криптовалютні зломи досягли $163 млн у серпні, атаки зросли на 15%

Щоб зменшити такі ризики, експерти з безпеки наголошують на важливості превентивних заходів. Рекомендовані практики включають формальні аудити, симуляції атак, впровадження з затримкою у часі та добре профінансовані програми bug bounty. Ці заходи, зазначають експерти, є критично важливими для hooks та інших функцій, що змінюють облік активів.

Інцидент з Bunni також вписується у ширшу тенденцію. За даними PeckShield, хакери вкрали понад $163 млн у 16 інцидентах у серпні, що на 15% більше, ніж $142 млн у липні. Хоча крадіжки залишаються на 47% нижчими у річному вимірі, зловмисники, схоже, змінюють свої стратегії.