Bunni Børsen Utnyttet for $2,4 Millioner
Den desentraliserte børsen Bunni ble offer for en utnyttelse og mistet omtrent $2,4 millioner i stablecoins etter at angripere manipulerte plattformens likviditetsberegninger, ifølge on-chain-data fra flere Web3-sikkerhetsfirmaer.
«Bunni-appen har blitt påvirket av en sikkerhetsutnyttelse,» bekreftet teamet på X tirsdag. «Som en forholdsregel har vi pauset alle smarte kontraktsfunksjoner på alle nettverk. Vårt team undersøker aktivt og vil gi oppdateringer snart,» la teamet til.
Angrepet målrettet Bunnis Ethereum-baserte smarte kontrakter. Midler ble drenert til en adresse som holdt $1,33 millioner i USDC og $1,04 millioner i USDt. Bunnis kjernebidragsyter ba brukerne om å ta ut midler fra plattformen så snart som mulig.
«Hvis du har penger på Bunni, fjern dem ASAP,» skrev de på X.
Bunni kanalisere likviditet gjennom Euler Finance, en desentralisert utlånsplattform som gjør det mulig for brukere å låne, låne ut og designe strukturerte kryptoprodukter. I lys av utnyttelsen klargjorde Euler-medgründer og CEO Michael Bentley at protokollen i seg selv forblir upåvirket av utnyttelsen.
Hvordan Bunni Ble Offer for Hackingen
Mens en teknisk etterforskning fortsatt er ufullstendig, peker tidlig analyse fra utviklere og forskere på en feil i hvordan Bunni håndterer likviditetsrebalansering. Bunni, bygget på toppen av Uniswap v4, bruker en tilpasset mekanisme kalt Likviditetsfordelingsfunksjon (LDF) i stedet for Uniswaps standardlogikk. Denne mekanismen lar Bunni optimalisere likviditetsallokering på tvers av prisklasser, med mål om å øke avkastningen for likviditetsleverandører.
Ifølge Victor Tran, medgründer av KyberNetwork, var angriperen i stand til å manipulere LDF-kurven ved å utføre handler av spesifikke størrelser som utløste feilaktig rebalanseringslogikk.
«Utnytteren fant ut at de kunne manipulere denne LDF ved å gjøre handler av veldig spesifikke størrelser,» skrev Tran på X. «Disse nøye valgte beløpene fikk rebalanseringsberegningen til å bryte sammen, og ga feil resultater for hvor mye hver LP-andel skulle eie,» la han til.
Angriperen ser ut til å ha utført utnyttelsen flere ganger, gradvis drenert protokollens midler uten å utløse alarmer umiddelbart.
Kryptohacking i August
I august stjal kryptohackere og svindlere over $163 millioner i 16 separate hendelser, noe som markerer en økning på 15 % fra julis $142 millioner. Selv om tallet fortsatt er 47 % lavere år-over-år, reflekterer det en bekymringsfull økning i målrettede angrep ettersom kryptomarkedene får fart.
PeckShield og andre cybersikkerhetseksperter bemerket et strategisk skifte i hackeratferd, med angripere som nå fokuserer på sentraliserte børser og høyt verdsatte individer, i stedet for mindre, desentraliserte mål. Det største tapet i august kom fra et sosialt ingeniørangrep, der en Bitcoiner ble lurt til å sende 783 BTC (verdt $91 millioner) til angripere som utga seg for å være supportagenter fra en kryptobørs og leverandør av maskinvarelommebøker.
