Биржа BunniXYZ на Ethereum столкнулась с серией несанкционированных оттоков. Исследователи блокчейна определили это событие как взлом с потерями около 2,3 миллиона долларов.
BunniXYZ, децентрализованная биржа на Ethereum, была взломана через один из своих смарт контрактов. Хакер в основном переместил стейблкоины, общие потери составили 2,3 миллиона долларов.
Согласно истории транзакций, хакер атаковал хранилища USDT и USDC, затем переместил токены через экосистему Ethereum, в итоге получив смесь ETH и стейблкоинов. В течение первых минут проект BunniXYZ распознал атаку на свое приложение и закрыл все смарт контракты.
Вскоре после взлома злоумышленник продолжил обмен средств на ETH через другие протоколы DeFi.
В течение часа после атаки хакер еще не перемещал и не смешивал средства, за исключением первоначальных движений через протоколы DeFi. Атака на BunniXYZ является частью последней серии относительно небольших взломов с кражей менее 10 миллионов долларов.
Даже относительно небольшие атаки часто наносят ущерб репутации протоколов и разрушают новые центры DeFi. Одним из самых недавних взломов смарт-контрактов был взлом BetterBank, как сообщал Cryptopolitan. Такие атаки вызывают подозрения в инсайдерских действиях или вредоносном коде, внедренном в Web3 хакерами из КНДР.
BunniXYZ атакован на пике
BunniXYZ — это DEX, использующий как Ethereum, так и Unichain. Новый рынок также использует технологию Uniswap V4 для создания специальных хранилищ и рынков с более сложными правилами торговли.
Как и другие рынки, BunniXYZ был атакован вскоре после достижения локального пика заблокированной стоимости. В конце августа биржа хранила до 60 миллионов долларов в своих хранилищах. Рынок все еще был относительно небольшим после запуска в феврале и нахождения своего места среди новых протоколов DeFi.
Август также был одним из самых успешных месяцев для DEX с объемом более 1 миллиарда долларов. Биржа специально создавала ликвидность для рехипотекации, избегая ликвидаций во время рыночных спадов. Ликвидность DEX также была связана с протоколом Euler для пассивного дохода.
BunniXYZ использовал расширенные объемы Uniswap V4, поскольку протокол привлек более 393 миллионов долларов в свои хранилища на Ethereum и 298 миллионов долларов на Unichain.
Хакер использовал расчет ликвидности BunniXYZ
Анализ после взлома показал, что BunniXYZ был уязвим из-за своего специфического контракта пересчета ликвидности. DEX является хуком ликвидности, использующим технологию Uniswap V4. Однако вместо использования расчета ликвидности Uniswap, BunniXYZ пересчитывает Функцию Распределения Ликвидности.
Злоумышленник обнаружил, что Функция Распределения Ликвидности может нарушаться при сделках определенных размеров. Это означало, что смарт контракт выплачивал из пула ликвидности больше токенов, чем имелось в реальности, в итоге истощая биржу. Атакующему пришлось повторить несколько транзакций, чтобы в итоге накопить 2,3 миллиона долларов, а затем обменять их на ETH. Затем он внес ETH в Aave, держа 1,33 миллиона долларов в AethUSDC и 1 миллион долларов в AethUSDT согласно конечному балансу кошелька.
BunniXYZ прошел предыдущие аудиты, но ошибка LDF могла появиться в более поздней версии биржи. Наиболее вероятной причиной является ошибка точности, которая требовала от хакера выполнения нескольких транзакций для накопления большего баланса на основе ошибочного пересчета.
Если вы читаете это, вы уже впереди. Оставайтесь там с нашей рассылкой.
Источник: https://www.cryptopolitan.com/ethereum-exchange-bunnixyz-drained-2-3m/
