BunniXYZ Ethereum 交易所發生了一系列未經授權的資金外流。鏈上調查人員確認這是一場駭客攻擊,損失約為230萬美元。
BunniXYZ 是一個基於 Ethereum 的去中心化交易所,遭到其一個智能合約的利用。駭客主要轉移了穩定幣,總損失達到230萬美元。
根據 交易歷史 ,駭客攻擊了 USDT 和 USDC 金庫,然後通過 Ethereum 生態系統轉移這些代幣,最終持有 ETH 和穩定幣的組合。在最初幾分鐘內, BunniXYZ 項目方就意識到其應用遭到攻擊,並關閉了所有智能合約。
駭客事件發生後不久,攻擊者繼續通過其他 DeFi 協議將資金兌換成 ETH。
在攻擊發生後的一小時內,駭客除了最初通過 DeFi 協議的轉移外,尚未進一步移動或混合資金。這次針對 BunniXYZ 的攻擊屬於近期一系列規模較小的駭客事件之一,盜取金額低於1000萬美元。
即使是這類相對較小的攻擊,也常常損害協議聲譽,並摧毀新興的 DeFi 樞紐。最近一次針對智能合約的利用發生在 BetterBank,正如 Cryptopolitan 報導 。這類攻擊引發了對內部人作案或由 DPRK 駭客向 Web3 注入惡意代碼的懷疑。
BunniXYZ 在高峰時期遭受攻擊
BunniXYZ 是一個同時運行於 Ethereum 和 Unichain 的 DEX。該新市場還採用了 Uniswap V4 技術,創建了具有更複雜交易規則的特殊金庫和市場。
與其他市場一樣,BunniXYZ 在其鎖倉價值達到本地高點後不久即遭到攻擊。八月底時,該交易所金庫資產高達6000萬美元。該市場自二月上線以來規模仍然較小,並在新興 DeFi 協議中找到了一席之地。
八月也是該 DEX 表現最為成功的月份之一,交易量超過10億美元。該交易所專注於為 rehypothecation 建立流動性,同時在市場下跌時避免清算。DEX 的流動性還與 Euler Protocol 相關聯,用於被動收益。
BunniXYZ 受益於 Uniswap V4 擴大後的交易量,該協議在 Ethereum 上吸引了超過 3.93億美元 的資產進入其金庫,在 Unichain 上則有2.98億美元。
駭客利用 BunniXYZ 流動性計算漏洞
事後分析顯示,BunniXYZ 因其特定的流動性重新計算合約而存在漏洞。該 DEX 是一個流動性掛鉤協議,採用 Uniswap V4 技術。然而,BunniXYZ 並未使用 Uniswap 的流動性計算方式,而是重新計算了流動性分佈函數。
攻擊者 發現 流動性分佈函數在特定規模的交易下會失效。這意味著智能合約會從流動性池中支付超過實際持有的代幣,最終導致交易所資金被抽乾。攻擊者必須重複多次交易,最終累積到230萬美元,然後將其兌換成 ETH。隨後,他將 ETH 存入 Aave,根據 錢包 的最終餘額,持有133萬美元的 AethUSDC 和100萬美元的 AethUSDT。
BunniXYZ 曾經過多次審計,但 LDF 漏洞可能是在後續版本中出現。最可能的原因是一個精度錯誤,這使得駭客必須多次交易,才能根據錯誤的重新計算累積更大的餘額。
如果你正在閱讀這篇文章,你已經領先一步。請訂閱我們的電子報,持續保持領先。
