Bunni DEX sfruttato per 2,4 milioni di dollari a causa di un difetto di liquidità che costringe alla chiusura

Bunni, un exchange decentralizzato multi-rete, è stato sfruttato per 2,4 milioni di dollari oggi, costringendolo a sospendere le operazioni come contromisura.

Secondo il team del progetto, l'exploit è stato identificato nei suoi smart contract basati su Ethereum, spingendo il progetto a sospendere immediatamente tutte le funzioni del protocollo sulle reti supportate.

"Abbiamo messo in pausa tutte le funzioni degli smart contract su tutte le reti. Il nostro team sta indagando attivamente e fornirà presto aggiornamenti. Grazie per la vostra pazienza", ha annunciato Bunni tramite un post del 1° settembre.

Osservando i dati on-chain, il wallet utilizzato nell'exploit ha mostrato che gli aggressori hanno sottratto circa 2,4 milioni di dollari in stablecoin, di cui 1,33 milioni in USDC e 1,04 milioni in USDT.

Tuttavia, il quadro potrebbe essere più cupo di quanto sembri a prima vista. Alcune stime che circolano tra gli investigatori della blockchain suggeriscono che le perdite reali potrebbero estendersi ben oltre questa cifra, con un totale che sale fino a 8 milioni di dollari. Vedi sotto.

I fondi rubati sono stati poi incanalati in due wallet, che è un segno distintivo familiare degli exploit DeFi coordinati in cui la liquidità viene rapidamente consolidata.

Gli aggressori hanno preso di mira la logica di liquidità di Bunni

Al momento della stesura di questo articolo, Bunni non ha ancora pubblicato un'autopsia ufficiale dell'incidente, ma gli sviluppatori e i ricercatori che hanno iniziato le revisioni preliminari ritengono che l'attacco sia derivato da un difetto nella funzione di distribuzione della liquidità (LDF) di Bunni.

A differenza di altri DEX come il modello standard di Uniswap, Bunni utilizza questo meccanismo per ottimizzare i rendimenti distribuendo la liquidità tra le fasce di prezzo.

Secondo il co-fondatore di Kyber Network, Victor Tran, l'aggressore ha manipolato la curva eseguendo operazioni di dimensioni molto specifiche che hanno ingannato la logica di ribilanciamento nel calcolare erroneamente il valore della quota di ciascun fornitore di liquidità.

In pratica, questo permetteva all'exploiter di ripetere il processo più volte senza far scattare allarmi, svuotando gradualmente la piscina.

Dal momento che non è stata rilasciata alcuna autopsia ufficiale, la comunità è in attesa di chiarezza sul fatto che si sia trattato di una svista di codifica isolata o di un difetto architettonico più profondo.

Gli exploit DeFi continuano a scuotere gli investitori crypto

L'incidente fa seguito anche a una serie di vulnerabilità che prendono di mira le piattaforme DeFi emergenti.

Solo pochi mesi prima, Four.Meme, un launchpad di memecoin costruito su BNB Chain, è stato preso di mira in exploit back-to-back a febbraio e marzo.

L'attacco di marzo, effettuato tramite una strategia di manipolazione a sandwich, ha prosciugato circa 120.000$, arrivando solo poche settimane dopo una perdita separata di 183.000$.

In tutto il mercato, l'attività di exploit è diventata quasi un calvario regolare. Solo negli ultimi due mesi, l'industria delle criptovalute ha perso almeno 300 milioni di dollari di fondi.

Solo a luglio gli hacker hanno incassato circa 142 milioni di dollari in 17 incidenti, con l' exchange di criptovalute indiana CoinDCX che ha subito il colpo più pesante a causa di una violazione di 44 milioni di dollari.

Le perdite sono aumentate ulteriormente ad agosto a circa 163 milioni di dollari distribuiti in 16 incidenti separati.

Il più grande è arrivato quando un Bitcoiner è caduto preda di uno stratagemma di ingegneria sociale, cedendo 783 BTC per un valore di 91 milioni di dollari.

Anche l'exchange turco Btcturk ha registrato una perdita di circa 50 milioni di dollari, con i fondi dirottati dai suoi hot wallet nello stesso mese.