Utnyttjande av Bunni och Förlust av Medel
Den decentraliserade börsen Bunni har blivit offer för ett utnyttjande och förlorat cirka 2,4 miljoner dollar i stablecoins efter att angripare manipulerade plattformens likviditetsberäkningar, enligt on-chain-data från flera Web3-säkerhetsföretag.
”Bunni-appen har påverkats av ett säkerhetsutnyttjande,” bekräftade teamet på X i tisdags. ”Som en försiktighetsåtgärd har vi pausat alla smarta kontraktsfunktioner på alla nätverk. Vårt team undersöker aktivt och kommer att ge uppdateringar snart,” tillade de.
Attacken riktade sig mot Bunnis Ethereum-baserade smarta kontrakt. Medel drogs till en adress som innehöll 1,33 miljoner dollar i USDC och 1,04 miljoner dollar i USDt. En kärnmedarbetare från Bunni uppmanade användare att ta ut sina medel från plattformen så snart som möjligt.
”Om du har pengar på Bunni, ta ut dem omedelbart,” skrev de på X.
Bunni kanaliserar likviditet genom Euler Finance, en decentraliserad låneplattform som gör det möjligt för användare att låna, låna ut och designa strukturerade kryptoprodukter. Med tanke på utnyttjandet klargjorde Euler medgrundare och VD Michael Bentley att protokollet i sig förblir opåverkat av utnyttjandet. Cointelegraph kontaktade Bunni och Euler för en kommentar, men hade inte fått något svar vid publiceringen.
Hur Bunni Blev Offer för Hackningen
Även om en teknisk efteranalys fortfarande är ofullständig, pekar tidiga analyser från utvecklare och forskare på en brist i hur Bunni hanterar likviditetsomfördelning. Bunni, som är byggd ovanpå Uniswap v4, använder en anpassad mekanism kallad Liquidity Distribution Function (LDF) istället för Uniswaps standardlogik. Denna mekanism gör det möjligt för Bunni att optimera likviditetsallokering över prisintervall, med målet att öka avkastningen för likviditetsleverantörer.
Enligt Victor Tran, medgrundare av KyberNetwork, kunde angriparen manipulera LDF-kurvan genom att utföra affärer av specifika storlekar som utlöste felaktig omfördelningslogik.
”Utnyttjaren insåg att de kunde manipulera denna LDF genom att göra affärer av mycket specifika storlekar,” skrev Tran på X. ”Dessa noggrant valda belopp fick omfördelningsberäkningen att gå sönder, vilket gav felaktiga resultat för hur mycket varje LP-andel skulle äga,” tillade han.
Angriparen verkar ha genomfört utnyttjandet flera gånger, gradvis dränerande protokollets medel utan att omedelbart utlösa larm.
Kryptohack Överstiger 163 Miljoner Dollar i Augusti
I augusti stal kryptohackare och bedragare över 163 miljoner dollar i 16 separata incidenter, vilket markerar en ökning med 15% från julis 142 miljoner dollar. Även om siffran fortfarande är 47% lägre år över år, återspeglar den en oroande ökning av riktade attacker när kryptomarknaderna får fart.
PeckShield och andra cybersäkerhetsexperter noterade en strategisk förändring i hackerbeteende, där angripare nu fokuserar på centraliserade börser och högvärdiga individer, snarare än mindre, decentraliserade mål. Den största förlusten i augusti kom från en social ingenjörsattack, där en Bitcoiner lurades att skicka 783 BTC (värt 91 miljoner dollar) till angripare som utgav sig för att vara supportagenter från en kryptobörs och hårdvaruplånboksleverantör.
