El exchange BunniXYZ de Ethereum experimentó una serie de salidas no autorizadas. Los investigadores on-chain identificaron el evento como un hackeo, con pérdidas de alrededor de $2.3M.
BunniXYZ, un exchange descentralizado de Ethereum, ha sido explotado a través de uno de sus Smart Contracts. El hacker movió principalmente stablecoins, con una pérdida total de $2.3M.
Según el historial de transacciones, el hacker atacó las bóvedas de USDT y USDC, luego movió los tokens a través del ecosistema Ethereum, terminando con una mezcla de ETH y stablecoins. En los primeros minutos, el proyecto BunniXYZ reconoció el ataque contra su aplicación, cerrando todos los Smart Contracts.
Poco después del hackeo, el explotador continuó haciendo swap de fondos a ETH a través de otros protocolos DeFi.
En la hora posterior al ataque, el hacker aún no había movido ni mezclado los fondos, excepto por los movimientos iniciales a través de protocolos DeFi. El ataque contra BunniXYZ es parte de la última serie de hackeos relativamente menores, robando menos de $10M.
Incluso los ataques relativamente pequeños a menudo cuestan la reputación de los protocolos y destruyen nuevos centros DeFi. Una de las más recientes explotaciones de Smart Contract fue contra BetterBank, como informó Cryptopolitan. Tales ataques levantan sospechas de trabajos internos o código malicioso inyectado en la Web3 por hackers de DPRK.
BunniXYZ atacado en su punto máximo
BunniXYZ es un DEX que utiliza tanto Ethereum como Unichain. El nuevo mercado también utiliza la tecnología Uniswap V4 para crear bóvedas especiales y mercados con reglas de trading más complejas.
Como con otros mercados, BunniXYZ fue atacado poco después de alcanzar un pico local de valor bloqueado. A finales de agosto, el exchange tenía hasta $60M en sus bóvedas. El mercado seguía siendo relativamente pequeño, después de lanzarse en febrero y encontrar su lugar entre los nuevos protocolos DeFi.
Agosto también fue uno de los meses más exitosos para el DEX, con más de $1B en volúmenes. El exchange estaba específicamente construyendo liquidez para rehipotecación, mientras evitaba liquidaciones durante las caídas del mercado. La liquidez del DEX también estaba vinculada al Protocolo Euler para ingresos pasivos.
BunniXYZ se benefició de los volúmenes expandidos de Uniswap V4, ya que el protocolo atrajo más de $393M a sus bóvedas en Ethereum y $298M en Unichain.
Hacker explotó el cálculo de liquidez de BunniXYZ
El análisis posterior al hackeo mostró que BunniXYZ era vulnerable debido a su contrato específico de recálculo de liquidez. El DEX es un hook de liquidez que utiliza la tecnología Uniswap V4. Sin embargo, en lugar de usar el cálculo de liquidez de Uniswap, BunniXYZ recalcula la Función de Distribución de Liquidez.
El explotador descubrió que la Función de Distribución de Liquidez podía romperse con operaciones de tamaños específicos. Esto significaba que el Smart Contract pagaría más tokens del pool de liquidez de los que poseía en realidad, terminando por drenar el exchange. El atacante tuvo que repetir múltiples transacciones para finalmente acumular $2.3M, luego los cambió por ETH. Luego terminó depositando el ETH en Aave, manteniendo $1.33M en AethUSDC y $1M en AethUSDT según el saldo final de la wallet.
BunniXYZ ha pasado por auditorías previas, pero el error LDF puede haber llegado con una versión posterior del exchange. La causa más probable es un error de precisión, que requirió que el hacker realizara múltiples transacciones para acumular un saldo mayor basado en el recálculo defectuoso.
Si estás leyendo esto, ya estás adelantado. Mantente ahí con nuestro boletín.
Fuente: https://www.cryptopolitan.com/ethereum-exchange-bunnixyz-drained-2-3m/
