Bunni DEX uitgebuit voor $2,4 miljoen als liquiditeitsfout dwingt tot sluiting

Bunni, een gedecentraliseerde beurs met meerdere netwerken, werd eerder vandaag voor $ 2,4 miljoen uitgebuit, waardoor het gedwongen werd de activiteiten als tegenmaatregel op te schorten.

Volgens het projectteam werd de exploit geïdentificeerd in de op Ethereum gebaseerde slimme contracten, wat het project ertoe aanzette om alle protocolfuncties op ondersteunde netwerken onmiddellijk op te schorten.

"We hebben alle slimme contractfuncties op alle netwerken gepauzeerd. Ons team is actief bezig met onderzoek en zal binnenkort updates geven. Bedankt voor je geduld", kondigde Bunni aan via een bericht van 1 september.

Kijkend naar on-chain gegevens, toonde de portemonnee die in de exploit werd gebruikt aan dat aanvallers ongeveer $2,4 miljoen aan stablecoins hadden overgeheveld, waaronder $1,33 miljoen in USDC en $1,04 miljoen in USDT.

Toch kan het beeld grimmiger zijn dan het op het eerste gezicht lijkt. Sommige schattingen die onder blockchain-speurneuzen circuleren, suggereren dat de echte verliezen veel verder kunnen reiken dan dat cijfer, met totalen die oplopen tot meer dan $ 8 miljoen. Zie hieronder.

Het gestolen geld werd vervolgens naar twee wallets geleid, wat een bekend kenmerk is van gecoördineerde DeFi-exploits waarbij liquiditeit snel wordt geconsolideerd.

Aanvallers richtten zich op de liquiditeitslogica van Bunni

Op het moment van schrijven heeft Bunni nog geen officiële post-mortem van het incident gepubliceerd, maar ontwikkelaars en onderzoekers die zijn begonnen met voorlopige beoordelingen, geloven dat de aanval voortkwam uit een fout in Bunni's Liquidity Distribution Function (LDF).

In tegenstelling tot andere DEX's, zoals het standaardmodel van Uniswap, gebruikt Bunni dit mechanisme om het rendement te optimaliseren door liquiditeit over prijsklassen te verdelen.

Volgens Victor Tran, mede-oprichter van Kyber Network, manipuleerde de aanvaller de curve door transacties van zeer specifieke omvang uit te voeren die de herbalanceringslogica misleidden om verkeerd te berekenen hoeveel het aandeel van elke liquiditeitsverschaffer waard was.

In de praktijk kon de uitbuiter hierdoor het proces meerdere keren herhalen zonder alarmen te activeren, waardoor de pool geleidelijk leeg raakte.

Aangezien er geen officiële post-mortem is vrijgegeven, wacht de gemeenschap op duidelijkheid over de vraag of dit een geïsoleerd coderingstoezicht was of een diepere architecturale fout.

DeFi-exploits blijven crypto-investeerders rammelen

Het incident volgt ook op een reeks kwetsbaarheden die gericht zijn op opkomende DeFi-platforms.

Slechts enkele maanden eerder was Four.Meme, een memecoin-lanceerplatform gebouwd op BNB Chain, het doelwit van back-to-back exploits in februari en maart.

De aanval in maart, uitgevoerd via een sandwichmanipulatiestrategie, kostte ongeveer $ 120.000, slechts enkele weken na een afzonderlijk verlies van $ 183.000.

Over de hele markt is exploit-activiteit bijna een regelmatige beproeving geworden. Alleen al in de afgelopen twee maanden heeft de crypto-industrie minstens $300 miljoen aan geld verloren.

Alleen al in juli gingen hackers ervandoor met ongeveer $ 142 miljoen in 17 incidenten, waarbij de Indiase crypto exchange CoinDCX de zwaarste klap kreeg als gevolg van een inbreuk van $ 44 miljoen.

De verliezen stegen in augustus verder tot ongeveer $ 163 miljoen, verspreid over 16 afzonderlijke incidenten.

De grootste kwam toen een Bitcoiner ten prooi viel aan een social engineering-list en 783 BTC ter waarde van $ 91 miljoen inleverde.

De Turkse beurs Btcturk rapporteerde ook een verlies van ongeveer $ 50 miljoen, waarbij het geld in dezelfde maand uit zijn hot wallets werd overgeheveld.