Bunni DEX hyödynnettiin 2,4 miljoonalla dollarilla, kun likviditeettivirhe pakottaa sulkemaan

Bunnia, usean verkon hajautettua pörssiä, käytettiin hyväksi 2,4 miljoonalla dollarilla aiemmin tänään, mikä pakotti sen keskeyttämään toimintansa vastatoimena.

Projektitiimin mukaan hyväksikäyttö tunnistettiin sen Ethereum-pohjaisissa älykkäissä sopimuksissa, mikä sai projektin keskeyttämään välittömästi kaikki protokollatoiminnot tuetuissa verkoissa.

"Olemme keskeyttäneet kaikki älykkäiden sopimusten toiminnot kaikissa verkoissa. Tiimimme tutkii asiaa aktiivisesti ja antaa päivityksiä pian. Kiitos kärsivällisyydestäsi", Bunni ilmoitti 1. syyskuuta julkaistussa X-viestissä.

Ketjun sisäisiä tietoja tarkasteltaessa hyväksikäytössä käytetty lompakko osoitti, että hyökkääjät veivät noin 2,4 miljoonaa dollaria stablecoineja, mukaan lukien 1,33 miljoonaa dollaria USDC:tä ja 1,04 miljoonaa dollaria USDT:tä.

Kuva saattaa kuitenkin olla synkempi kuin miltä se aluksi näyttää. Jotkut lohkoketjuetsijöiden keskuudessa kiertävät arviot viittaavat siihen, että todelliset tappiot voivat venyä selvästi tätä lukua pidemmälle, ja kokonaismäärät voivat nousta yli 8 miljoonaan dollariin. Katso alla.

Varastetut varat ohjattiin sitten kahteen lompakkoon, mikä on tuttu tunnusmerkki koordinoiduille DeFi-hyväksikäytöille, joissa likviditeetti konsolidoituu nopeasti.

Hyökkääjät ottivat kohteekseen Bunnin likviditeettilogiikan

Lehdistöaikaan mennessä Bunni ei ole vielä julkaissut virallista ruumiinavausta tapauksesta, mutta alustavat tutkimukset aloittaneet kehittäjät ja tutkijat uskovat, että hyökkäys johtui Bunnin likviditeetin jakelutoiminnon (LDF) virheestä.

Toisin kuin muut DEX:t, kuten Uniswapin vakiomalli, Bunni käyttää tätä mekanismia optimoidakseen tuoton jakamalla likviditeettiä hintaluokkien välillä.

Kyber Networkin perustajan Victor Tranin mukaan hyökkääjä manipuloi käyrää suorittamalla hyvin tietyn kokoisia kauppoja, jotka huijasivat tasapainotuslogiikan laskemaan väärin, kuinka paljon kunkin likviditeetin tarjoajan osakkeen arvo oli.

Käytännössä tämä antoi hyväksikäyttäjälle mahdollisuuden toistaa prosessi useita kertoja laukaisematta hälytyksiä, mikä tyhjensi altaan vähitellen.

Koska virallista ruumiinavausta ei ole julkaistu, yhteisö odottaa selvyyttä siitä, oliko kyseessä yksittäinen koodausvirhe vai syvempi arkkitehtoninen virhe.

DeFi-hyväksikäytöt ravistelevat edelleen kryptosijoittajia

Tapaus seuraa myös sarjaa haavoittuvuuksia, jotka kohdistuvat uusiin DeFi-alustoihin.

Vain kuukausia aiemmin Four.Meme, BNB Chainiin rakennettu memecoin-laukaisualusta, joutui peräkkäisten hyökkäysten kohteeksi helmi- ja maaliskuussa.

Maaliskuun hyökkäys, joka toteutettiin voileipämanipulaatiostrategian avulla, vei noin 120 000 dollaria, ja se tapahtui vain viikkoja erillisen 183 000 dollarin tappion jälkeen.

Kaikkialla markkinoilla hyväksikäyttötoiminnasta on tullut lähes säännöllinen koettelemus. Pelkästään viimeisen kahden kuukauden aikana kryptoteollisuus on menettänyt vähintään 300 miljoonan dollarin arvosta varoja.

Pelkästään heinäkuussa hakkerit saivat noin 142 miljoonaa dollaria 17 tapauksesta, ja intialainen kryptopörssi CoinDCX kärsi raskaimman iskun 44 miljoonan dollarin tietomurron vuoksi.

Tappiot nousivat edelleen elokuussa noin 163 miljoonaan dollariin, jotka jakautuivat 16 eri tapaukseen.

Suurin yksittäinen tuli, kun Bitcoiner joutui sosiaalisen manipuloinnin uhriksi ja luovutti 783 BTC:tä 91 miljoonan dollarin arvosta.

Turkkilainen pörssi Btcturk raportoi myös noin 50 miljoonan dollarin tappiosta, kun varat vietiin sen kuumista lompakoista samassa kuussa.