Angreb på Bunni: Et stort tab i stablecoins
Den decentrale børs Bunni er blevet offer for en udnyttelse, der har resulteret i et tab på cirka $2,4 millioner i stablecoins. Angribere manipulerede platformens likviditetsberegninger, ifølge on-chain data fra flere Web3-sikkerhedsfirmaer.
“Bunni-appen er blevet påvirket af en sikkerhedsudnyttelse,” bekræftede deres team på X tirsdag. “Som en forholdsregel har vi pauset alle smart kontraktfunktioner på alle netværk. Vores team undersøger aktivt situationen og vil snart give opdateringer,” tilføjede teamet.
Angrebet målrettede Bunnis Ethereum-baserede smart kontrakter. Midler blev drænet til en adresse, der holdt $1,33 millioner i USDC og $1,04 millioner i USDt. En kernebidragyder fra Bunni bad brugerne om at trække deres midler tilbage fra platformen så hurtigt som muligt.
“Hvis du har penge på Bunni, fjern dem ASAP,” skrev de på X.
Bunni kanalisere likviditet gennem Euler Finance, en decentraliseret låneplatform, der gør det muligt for brugere at låne, låne ud og designe strukturerede kryptoprodukter. I lyset af udnyttelsen præciserede Euler-medstifter og CEO Michael Bentley, at protokollen selv ikke er blevet påvirket af udnyttelsen.
Hvordan Bunni blev offer for hackingen
Selvom en teknisk post-mortem stadig er ufuldstændig, peger tidlige analyser fra udviklere og forskere på en fejl i, hvordan Bunni håndterer likviditetsgenbalancering. Bunni, bygget oven på Uniswap v4, bruger en tilpasset mekanisme kaldet Liquidity Distribution Function (LDF) i stedet for Uniswaps standardlogik. Denne mekanisme gør det muligt for Bunni at optimere likviditetsallokering på tværs af prisintervaller med det mål at øge afkastet for likviditetsudbydere.
Ifølge Victor Tran, medstifter af KyberNetwork, var angriberen i stand til at manipulere LDF-kurven ved at udføre handler af specifikke størrelser, der udløste fejlagtig genbalanceringslogik.
“Udnytteren fandt ud af, at de kunne manipulere denne LDF ved at lave handler af meget specifikke størrelser,” skrev Tran på X. “Disse omhyggeligt valgte beløb fik genbalanceringsberegningen til at bryde sammen og gav forkerte resultater for, hvor meget hver LP-andel skulle eje,” tilføjede han.
Angriberen ser ud til at have udført udnyttelsen flere gange og gradvist drænet protokollens midler uden straks at udløse alarmer.
Kryptohacks i august
I august stjal kryptohackere og svindlere over $163 millioner i 16 separate hændelser, hvilket markerer en stigning på 15% fra julis $142 millioner. Selvom tallet stadig er 47% lavere år-til-år, afspejler det en bekymrende stigning i målrettede angreb, efterhånden som kryptomarkederne vinder momentum.
PeckShield og andre cybersikkerhedseksperter bemærkede et strategisk skift i hackeradfærd, hvor angribere nu fokuserer på centraliserede børser og højværdipersoner i stedet for mindre, decentrale mål. Det største tab i august kom fra et social engineering-angreb, hvor en Bitcoiner blev narret til at sende 783 BTC (værd $91 millioner) til angribere, der udgav sig for at være supportagenter fra en kryptobørs og hardware tegnebogsudbyder.
