Bunni DEX wykorzystany za 2,4 mln USD, ponieważ luka w płynności wymusza zamknięcie

Bunni, wielosieciowa zdecentralizowana giełda, została dziś wykorzystana za 2,4 miliona dolarów, co zmusiło ją do zawieszenia działalności jako środka zaradczego.

Według zespołu projektowego, exploit został zidentyfikowany w inteligentnych kontraktach opartych na Ethereum, co skłoniło projekt do natychmiastowego zawieszenia wszystkich funkcji protokołu w obsługiwanych sieciach.

"Wstrzymaliśmy wszystkie funkcje inteligentnych kontraktów we wszystkich sieciach. Nasz zespół aktywnie bada tę sprawę i wkrótce przedstawi aktualizacje. Dziękuję za cierpliwość" – ogłosił Bunni w poście z 1 września.

Patrząc na dane on-chain, portfel użyty w exploitie wykazał, że atakujący wyprowadzili około 2,4 miliona dolarów w stablecoinach, w tym 1,33 miliona dolarów w USDC i 1,04 miliona dolarów w USDT.

Jednak obraz może być bardziej ponury, niż się na pierwszy rzut oka wydaje. Niektóre szacunki krążące wśród detektywów blockchain sugerują, że rzeczywiste straty mogą znacznie przekroczyć tę liczbę, a ich łączne sumy mogą wzrosnąć do 8 milionów dolarów. Zobacz poniżej.

Skradzione środki zostały następnie przelane do dwóch portfeli, co jest znaną cechą charakterystyczną skoordynowanych exploitów DeFi, w których płynność jest szybko konsolidowana.

Atakujący wzięli na cel logikę płynności Bunni

W chwili obecnej Bunni nie opublikował jeszcze oficjalnego raportu z sekcji zwłok incydentu, ale programiści i badacze, którzy rozpoczęli wstępne przeglądy, uważają, że atak wynikał z błędu w funkcji dystrybucji płynności (LDF) Bunni.

W przeciwieństwie do innych DEX-ów, takich jak standardowy model Uniswap, Bunni wykorzystuje ten mechanizm do optymalizacji zwrotów poprzez dystrybucję płynności w różnych przedziałach cenowych.

Według współzałożyciela Kyber Network, Victora Trana, atakujący manipulował krzywą, wykonując transakcje o bardzo określonych rozmiarach, które oszukały logikę równoważenia, aby błędnie obliczyła, ile wart jest udział każdego dostawcy płynności.

W praktyce pozwalało to exploiterowi na wielokrotne powtarzanie procesu bez wyzwalania alarmów, stopniowo opróżniając basen.

Ponieważ nie opublikowano żadnego oficjalnego raportu post mortem, społeczność czeka na wyjaśnienie, czy było to odosobnione niedopatrzenie w kodowaniu, czy głębsza wada architektoniczna.

Exploity DeFi nadal wstrząsają inwestorami kryptowalutowymi

Incydent jest również następstwem szeregu luk w zabezpieczeniach wymierzonych w powstające platformy DeFi.

Zaledwie kilka miesięcy wcześniej Four.Meme, platforma startowa memecoinów zbudowana na Binance Chain, stała się celem kolejnych exploitów w lutym i marcu.

Marcowy atak, przeprowadzony za pomocą strategii manipulacji kanapkami, pochłonął około 120 000 USD, zaledwie kilka tygodni po oddzielnej stracie w wysokości 183 000 USD.

Na całym rynku aktywność związana z exploitami stała się niemal regularną próbą. Tylko w ciągu ostatnich dwóch miesięcy branża kryptowalutowa straciła środki o wartości co najmniej 300 milionów dolarów.

W samym lipcu hakerzy uciekli z około 142 milionami dolarów w 17 incydentach, przy czym indyjski giełda kryptowalut CoinDCX poniósł najcięższy cios z powodu naruszenia 44 milionów dolarów.

Straty wzrosły jeszcze bardziej w sierpniu do około 163 milionów dolarów rozłożonych na 16 oddzielnych incydentów.

Największa z nich nastąpiła, gdy Bitcoiner padł ofiarą podstępu socjotechnicznego, oddając 783 BTC o wartości 91 milionów dolarów.

Turecka giełda Btcturk również odnotowała stratę w wysokości około 50 milionów dolarów, a środki zostały wyprowadzone z jej gorących portfeli w tym samym miesiącu.