Giełda BunniXYZ Ethereum doświadczyła serii nieautoryzowanych wypływów środków. Śledczy blockchain zidentyfikowali to zdarzenie jako atak hakerski, ze stratami wynoszącymi około 2,3 mln dolarów.
BunniXYZ, zdecentralizowana giełda Ethereum, została zaatakowana poprzez jeden ze swoich inteligentnych kontraktów. Haker przeniósł głównie stablecoiny, co doprowadziło do całkowitej straty w wysokości 2,3 mln dolarów.
Na podstawie historii transakcji, haker zaatakował skarbce USDT i USDC, a następnie przeniósł tokeny przez ekosystem Ethereum, kończąc z mieszanką ETH i stablecoinów. W ciągu pierwszych minut projekt BunniXYZ rozpoznał atak na swoją aplikację, zamykając wszystkie inteligentne kontrakty.
Wkrótce po ataku, sprawca kontynuował wymianę środków na ETH poprzez inne protokoły DeFi.
W ciągu godziny po ataku, haker nie przeniósł ani nie wymieszał jeszcze środków, z wyjątkiem początkowych ruchów przez protokoły DeFi. Atak na BunniXYZ jest częścią najnowszej serii stosunkowo niewielkich ataków hakerskich, w których skradziono mniej niż 10 mln dolarów.
Nawet stosunkowo małe ataki często kosztują utratę reputacji protokołów i niszczą nowe centra DeFi. Jednym z najnowszych ataków na inteligentne kontrakty był atak na BetterBank, jak informował Cryptopolitan. Takie ataki budzą podejrzenia o działania wewnętrzne lub złośliwy kod wprowadzony do Web3 przez hakerów z KRLD.
BunniXYZ zaatakowane w szczytowym momencie
BunniXYZ to DEX wykorzystujący zarówno Ethereum, jak i Unichain. Nowy rynek wykorzystuje również technologię Uniswap V4 do tworzenia specjalnych skarbców i rynków z bardziej złożonymi zasadami handlu.
Podobnie jak w przypadku innych rynków, BunniXYZ zostało zaatakowane wkrótce po osiągnięciu lokalnego szczytu zablokowanej wartości. Pod koniec sierpnia giełda posiadała w swoich skarbcach do 60 mln dolarów. Rynek był nadal stosunkowo mały, po uruchomieniu w lutym i znalezieniu swojego miejsca wśród nowych protokołów DeFi.
Sierpień był również jednym z najbardziej udanych miesięcy dla DEX, z wolumenem przekraczającym 1 mld dolarów. Giełda budowała płynność specjalnie dla rehipotekacji, unikając jednocześnie likwidacji podczas spadków rynkowych. Płynność DEX była również powiązana z protokołem Euler w celu uzyskania pasywnego dochodu.
BunniXYZ korzystało z rozszerzonych wolumenów Uniswap V4, ponieważ protokół przyciągnął ponad 393 mln dolarów do swoich skarbców na Ethereum i 298 mln dolarów na Unichain.
Haker wykorzystał obliczenia płynności BunniXYZ
Analiza po ataku wykazała, że BunniXYZ było podatne na atak ze względu na swój specyficzny kontrakt przeliczania płynności. DEX jest hookiem płynności, wykorzystującym technologię Uniswap V4. Jednak zamiast korzystać z obliczeń płynności Uniswap, BunniXYZ przelicza Funkcję Dystrybucji Płynności.
Atakujący odkrył, że Funkcja Dystrybucji Płynności może zostać przerwana przez transakcje o określonych rozmiarach. Oznaczało to, że inteligentny kontrakt wypłaciłby więcej tokenów z puli płynności niż posiadał w rzeczywistości, co doprowadziło do wyczerpania giełdy. Atakujący musiał powtórzyć wiele transakcji, aby ostatecznie zgromadzić 2,3 mln dolarów, a następnie wymienić je na ETH. Następnie zdeponował ETH w Aave, posiadając 1,33 mln dolarów w AethUSDC i 1 mln dolarów w AethUSDT na podstawie końcowego salda portfela.
BunniXYZ przeszło wcześniejsze audyty, ale błąd LDF mógł pojawić się w późniejszej wersji giełdy. Najbardziej prawdopodobną przyczyną jest błąd precyzji, który wymagał od hakera wykonania wielu transakcji w celu zgromadzenia większego salda na podstawie wadliwego przeliczenia.
Jeśli to czytasz, jesteś już do przodu. Zostań z nami dzięki naszemu newsletterowi.
Źródło: https://www.cryptopolitan.com/ethereum-exchange-bunnixyz-drained-2-3m/
