Bunni DEX udnyttet for $2,4 mio., da likviditetsfejl tvinger til nedlukning

Bunni, en decentraliseret børs med flere netværk, blev udnyttet for 2,4 millioner dollars tidligere i dag, hvilket tvang den til at suspendere driften som en modforanstaltning.

Ifølge projektteamet blev udnyttelsen identificeret i dets Ethereum-baserede smarte kontrakter, hvilket fik projektet til straks at suspendere alle protokolfunktioner på tværs af understøttede netværk.

"Vi har sat alle smarte kontraktfunktioner på pause på alle netværk. Vores team undersøger aktivt og vil snart komme med opdateringer. Tak for din tålmodighed," meddelte Bunni via et indlæg den 1. september X.

Ser man på data på kæden, viste den wallet, der blev brugt i udnyttelsen, at angriberne sugede omkring 2,4 millioner dollars i stablecoins, herunder 1,33 millioner dollars i USDC og 1,04 millioner dollars i USDT.

Alligevel kan billedet være mere dystert, end det først ser ud til. Nogle estimater, der cirkulerer blandt blockchain-detektiver, tyder på, at de reelle tab kan strække sig langt ud over dette tal, med totaler, der stiger op til $8 millioner. Se nedenfor.

De stjålne midler blev derefter kanaliseret ind i to tegnebøger, hvilket er et velkendt kendetegn for koordinerede DeFi-udnyttelser, hvor likviditeten hurtigt konsolideres.

Angribere angreb Buskis likviditetslogik

I skrivende stund har Bunni endnu ikke offentliggjort en officiel obduktion af hændelsen, men udviklere og forskere, der har påbegyndt foreløbige undersøgelser, mener, at angrebet stammede fra en fejl i Bunis likviditetsfordelingsfunktion (LDF).

I modsætning til andre DEX'er som Uniswaps standardmodel bruger Bunni denne mekanisme til at optimere afkastet ved at distribuere likviditet på tværs af prisintervaller.

Ifølge Kyber Networks medstifter Victor Tran manipulerede angriberen kurven ved at udføre handler af meget specifikke størrelser, der narrede rebalanceringslogikken til at fejlberegne, hvor meget hver likviditetsudbyders andel var værd.

I praksis gjorde dette det muligt for udnytteren at gentage processen flere gange uden at udløse alarmer, hvilket gradvist drænede puljen.

Da der ikke er frigivet nogen officiel obduktion, venter fællesskabet på klarhed over, om dette var en isoleret kodningsforglemmelse eller en dybere arkitektonisk fejl.

DeFi-udnyttelser fortsætter med at ryste kryptoinvestorer

Hændelsen følger også en række sårbarheder rettet mod nye DeFi-platforme.

Blot måneder tidligere blev Four.Meme, en memecoin-affyringsrampe bygget på BNB Chain, målrettet i back-to-back-udnyttelser i februar og marts.

Angrebet i marts, der blev udført via en sandwich-manipulationsstrategi, drænede omkring 120.000 dollars og kom kun få uger efter et separat tab på 183.000 dollars.

På tværs af markedet er udnyttelsesaktivitet næsten blevet en regulær prøvelse. Alene i løbet af de sidste to måneder har kryptoindustrien mistet mindst $300 millioner i midler.

Alene i juli slap hackere med omkring 142 millioner dollars på tværs af 17 hændelser, hvor den indiske kryptobørs CoinDCX led det hårdeste slag på grund af et brud på 44 millioner dollars.

Tabene steg yderligere i august til omkring 163 millioner dollars fordelt på 16 separate hændelser.

Den største kom da en Bitcoiner blev offer for et social engineering-kneb og overgav 783 BTC til en værdi af $91 millioner.

Den tyrkiske børs Btcturk rapporterede også et tab på omkring $50 millioner, hvor midlerne blev suget fra dens hot wallets samme måned.