L'exchange Ethereum BunniXYZ ha subito una serie di deflussi non autorizzati. Gli investigatori on-chain hanno identificato l'evento come un hack, con perdite di circa $2,3M.
BunniXYZ, un exchange decentralizzato su Ethereum, è stato sfruttato attraverso uno dei suoi smart contract. L'hacker ha spostato principalmente stablecoin, per una perdita totale di $2,3M.
Basandosi sulla cronologia delle transazioni, l'hacker ha attaccato i vault di USDT e USDC, poi ha spostato i token attraverso l'ecosistema Ethereum, finendo con un mix di ETH e stablecoin. Nei primi minuti, il progetto BunniXYZ ha riconosciuto l'attacco contro la sua app, chiudendo tutti gli smart contract.
Poco dopo l'hack, l'attaccante ha continuato a scambiare fondi in ETH attraverso altri protocolli DeFi.
Nell'ora successiva all'attacco, l'hacker non ha ancora spostato o mischiato i fondi, eccetto per i movimenti iniziali attraverso i protocolli DeFi. L'attacco contro BunniXYZ fa parte dell'ultima serie di hack relativamente minori, che rubano meno di $10M.
Anche gli attacchi relativamente piccoli spesso costano la reputazione dei protocolli e distruggono nuovi hub DeFi. Uno dei più recenti exploit di smart contract è stato contro BetterBank, come riportato da Cryptopolitan. Tali attacchi sollevano sospetti di lavori interni, o codice malevolo iniettato nel Web3 da hacker della DPRK.
BunniXYZ attaccato al picco
BunniXYZ è un exchange decentralizzato che utilizza sia Ethereum che Unichain. Il nuovo mercato utilizza anche la tecnologia Uniswap V4 per creare vault speciali e mercati con regole di trading più complesse.
Come con altri mercati, BunniXYZ è stato attaccato poco dopo aver raggiunto un picco locale di valore bloccato. Alla fine di agosto, l'exchange aveva fino a $60M nei suoi vault. Il mercato era ancora relativamente piccolo, dopo il lancio a febbraio e trovando il suo posto tra i nuovi protocolli DeFi.
Agosto è stato anche uno dei mesi di maggior successo per l'exchange decentralizzato, con oltre $1B in volumi. L'exchange stava specificamente costruendo liquidità per la rehypothecation, evitando liquidazioni durante i cali di mercato. La liquidità dell'exchange decentralizzato era anche collegata al Protocollo Euler per reddito passivo.
BunniXYZ ha cavalcato i volumi espansi di Uniswap V4, poiché il protocollo ha attirato oltre $393M nei suoi vault su Ethereum e $298M su Unichain.
L'hacker ha sfruttato il calcolo della liquidità di BunniXYZ
L'analisi post-hack ha mostrato che BunniXYZ era vulnerabile a causa del suo specifico contratto di ricalcolo della liquidità. L'exchange decentralizzato è un hook di liquidità, che utilizza la tecnologia Uniswap V4. Tuttavia, invece di utilizzare il calcolo della liquidità di Uniswap, BunniXYZ ricalcola la Funzione di Distribuzione della Liquidità.
L'attaccante ha scoperto che la Funzione di Distribuzione della Liquidità poteva rompersi con scambi di dimensioni specifiche. Ciò significava che lo smart contract avrebbe pagato più token dal pool di liquidità di quanti ne possedesse in realtà, finendo per prosciugare l'exchange. L'attaccante ha dovuto ripetere più transazioni per accumulare infine $2,3M, poi scambiarli per ETH. Ha poi finito per depositare l'ETH in Aave, detenendo $1,33M in AethUSDC e $1M in AethUSDT in base al saldo finale del wallet.
BunniXYZ ha subito precedenti audit, ma il bug LDF potrebbe essere arrivato con una versione successiva dell'exchange. La causa più probabile è un bug di precisione, che ha richiesto all'hacker di eseguire più transazioni per accumulare un saldo maggiore basato sul ricalcolo difettoso.
Se stai leggendo questo, sei già avanti. Resta aggiornato con la nostra newsletter.
Source: https://www.cryptopolitan.com/ethereum-exchange-bunnixyz-drained-2-3m/
