Bunni DEX utnyttet for 2,4 millioner dollar da likviditetsfeil tvinger til nedleggelse

Bunni, en desentralisert børs med flere nettverk, ble utnyttet for 2,4 millioner dollar tidligere i dag, noe som tvang den til å suspendere driften som et mottiltak.

Ifølge prosjektteamet ble utnyttelsen identifisert i sine Ethereum-baserte smarte kontrakter, noe som fikk prosjektet til umiddelbart å suspendere alle protokollfunksjoner på tvers av støttede nettverk.

«Vi har satt alle smartkontraktsfunksjoner på pause på alle nettverk. Teamet vårt undersøker aktivt og vil gi oppdateringer snart. Takk for tålmodigheten,» kunngjorde Bunni via et innlegg 1.

Ser vi på data på kjeden, viste lommeboken som ble brukt i utnyttelsen at angripere sugde til seg rundt 2,4 millioner dollar i stablecoins, inkludert 1,33 millioner dollar i USDC og 1,04 millioner dollar i USDT.

Likevel kan bildet være dystrere enn det først ser ut til. Noen estimater som sirkulerer blant blokkjededetektiver antyder at de reelle tapene kan strekke seg langt utover dette tallet, med totaler som klatrer oppover 8 millioner dollar. Se nedenfor.

De stjålne midlene ble deretter kanalisert inn i to lommebøker, noe som er et kjent kjennetegn på koordinerte DeFi-utnyttelser der likviditet raskt konsolideres.

Angripere rettet seg mot Buskis likviditetslogikk

I skrivende stund har Bunni ennå ikke publisert en offisiell obduksjon av hendelsen, men utviklere og forskere som har begynt foreløpige gjennomganger mener angrepet stammet fra en feil i Bunis likviditetsdistribusjonsfunksjon (LDF).

I motsetning til andre DEX-er som Uniswaps standardmodell, bruker Bunni denne mekanismen for å optimalisere avkastningen ved å distribuere likviditet på tvers av prisklasser.

Ifølge Kyber Network-medgründer Victor Tran manipulerte angriperen kurven ved å utføre handler av svært spesifikke størrelser som lurte rebalanseringslogikken til å feilberegne hvor mye hver likviditetsleverandørs andel var verdt.

I praksis tillot dette utnytteren å gjenta prosessen flere ganger uten å utløse alarmer, og gradvis tømme bassenget.

Siden ingen offisiell obduksjon har blitt utgitt, venter samfunnet på klarhet om dette var en isolert kodeforglemmelse eller en dypere arkitektonisk feil.

DeFi-utnyttelser fortsetter å ryste kryptoinvestorer

Hendelsen følger også en rekke sårbarheter rettet mot nye DeFi-plattformer.

Bare måneder tidligere ble Four.Meme, en memecoin-lanseringsrampe bygget på BNB Chain, målrettet i back-to-back-utnyttelser i februar og mars.

Mars-angrepet, utført via en sandwich-manipulasjonsstrategi, tappet omtrent 120 000 dollar, og kom bare uker etter et separat tap på 183 000 dollar.

Over hele markedet har utnyttelsesaktivitet blitt nesten en vanlig prøvelse. Bare i løpet av de siste to månedene har kryptoindustrien tapt minst 300 millioner dollar i midler.

Bare juli så hackere stikke av med rundt 142 millioner dollar fordelt på 17 hendelser, med indiske kryptobørs CoinDCX som led det tyngste slaget på grunn av et brudd på 44 millioner dollar.

Tapene steg ytterligere i august til omtrent 163 millioner dollar fordelt på 16 separate hendelser.

Den største enkeltstående kom da en Bitcoiner ble offer for et sosialt ingeniørknep, og overga 783 BTC verdt 91 millioner dollar.

Den tyrkiske børsen Btcturk rapporterte også et tap på omtrent 50 millioner dollar, med midlene hentet fra de varme lommebøkene samme måned.