Bunni DEX für 2,4 Mio. $ ausgebeutet, da Liquiditätslücke die Schließung erzwingt

Bunni, eine dezentrale Börse mit mehreren Netzwerken, wurde heute für 2,4 Millionen US-Dollar ausgebeutet, was sie dazu zwang, den Betrieb als Gegenmaßnahme einzustellen.

Nach Angaben des Projektteams wurde der Exploit in seinen Ethereum-basierten Smart Contracts identifiziert, was das Projekt dazu veranlasste, alle Protokollfunktionen in den unterstützten Netzwerken sofort auszusetzen.

"Wir haben alle Smart-Contract-Funktionen in allen Netzwerken pausiert. Unser Team untersucht aktiv und wird in Kürze Updates bereitstellen. Danke für eure Geduld", kündigte Bunni in einem X-Post vom 1. September an.

Ein Blick auf die On-Chain-Daten zeigte, dass die für den Exploit verwendete Wallet zeigte, dass die Angreifer etwa 2,4 Millionen US-Dollar an Stablecoins abgezweigt haben, darunter 1,33 Millionen US-Dollar in USDC und 1,04 Millionen US-Dollar in USDT.

Doch das Bild könnte düsterer sein, als es auf den ersten Blick scheint. Einige Schätzungen, die unter Blockchain-Detektiven kursieren, deuten darauf hin, dass die tatsächlichen Verluste weit über diese Zahl hinausgehen könnten, wobei die Gesamtsummen auf über 8 Millionen US-Dollar steigen könnten. Siehe unten.

Die gestohlenen Gelder wurden dann in zwei Wallets geschleust, was ein bekanntes Kennzeichen für koordinierte DeFi-Exploits ist, bei denen die Liquidität schnell konsolidiert wird.

Die Angreifer zielten auf die Liquiditätslogik von Bunni ab

Bei Redaktionsschluss hat Bunni noch keine offizielle Nachbereitung des Vorfalls veröffentlicht, aber Entwickler und Forscher, die mit der vorläufigen Überprüfung begonnen haben, glauben, dass der Angriff auf einen Fehler in Bunnis Liquiditätsverteilungsfunktion (LDF) zurückzuführen ist.

Im Gegensatz zu anderen DEXs wie dem Standardmodell von Uniswap nutzt Bunni diesen Mechanismus, um die Rendite zu optimieren, indem die Liquidität über die Preisspannen verteilt wird.

Laut Victor Tran, Mitbegründer von Kyber Network, manipulierte der Angreifer die Kurve, indem er Trades mit sehr spezifischen Größen ausführte, die die Rebalancing-Logik dazu brachten, den Wert der Aktie jedes Liquiditätsanbieters falsch zu berechnen.

In der Praxis ermöglichte dies dem Exploiter, den Vorgang mehrmals zu wiederholen, ohne Alarm auszulösen, wodurch der Pool allmählich entleert wurde.

Da noch keine offizielle Nachbereitung veröffentlicht wurde, wartet die Community auf Klarheit darüber, ob es sich um ein isoliertes Versehen bei der Codierung oder um einen tieferen Architekturfehler handelte.

DeFi-Exploits verunsichern Krypto-Investoren weiter

Der Vorfall folgt auch auf eine Reihe von Schwachstellen, die auf aufstrebende DeFi-Plattformen abzielen.

Nur wenige Monate zuvor wurde Four.Meme, ein Memecoin-Launchpad, das auf der BNB-Chain basiert, im Februar und März Ziel von aufeinanderfolgenden Exploits.

Der Angriff im März, der über eine Sandwich-Manipulationsstrategie durchgeführt wurde, verlor rund 120.000 US-Dollar, nur wenige Wochen nach einem separaten Verlust von 183.000 US-Dollar.

Auf dem gesamten Markt sind Exploit-Aktivitäten fast zu einer regelmäßigen Tortur geworden. Allein in den letzten zwei Monaten hat die Kryptoindustrie Gelder im Wert von mindestens 300 Millionen US-Dollar verloren.

Allein im Juli machten sich Hacker bei 17 Vorfällen mit rund 142 Millionen US-Dollar davon, wobei der indische Kryptobörse CoinDCX mit einer Sicherheitsverletzung in Höhe von 44 Millionen US-Dollar den schwersten Schlag erlitt.

Die Schäden stiegen im August weiter auf rund 163 Millionen US-Dollar, die sich auf 16 separate Vorfälle verteilten.

Der größte Einzelfall ereignete sich, als ein Bitcoiner einem Social-Engineering-Trick zum Opfer fiel und 783 BTC im Wert von 91 Millionen US-Dollar übergab.

Die türkische Börse Btcturk meldete ebenfalls einen Verlust von rund 50 Millionen US-Dollar, wobei die Gelder im selben Monat aus ihren Hot Wallets abgeschöpft wurden.