Bunni DEX a fost exploatat pentru 2,4 milioane de dolari, deoarece defectul de lichiditate forțează închiderea

Bunni, o bursă descentralizată cu mai multe rețele, a fost exploatată pentru 2,4 milioane de dolari mai devreme astăzi, forțând-o să suspende operațiunile ca contramăsură. 

Potrivit echipei de proiect, exploit-ul a fost identificat în contractele sale inteligente bazate pe Ethereum, determinând proiectul să suspende imediat toate funcțiile de protocol în rețelele acceptate.

"Am întrerupt toate funcțiile contractelor inteligente pe toate rețelele. Echipa noastră investighează în mod activ și va oferi actualizări în curând. Vă mulțumim pentru răbdare", a anunțat Bunni printr-o postare X din 1 septembrie.

Privind datele on-chain, portofelul folosit în exploit a arătat că atacatorii au sifonat aproximativ 2,4 milioane de dolari în monede stabile, inclusiv 1,33 milioane de dolari în USDC și 1,04 milioane de dolari în USDT.

Cu toate acestea, imaginea poate fi mai sumbră decât pare la prima vedere. Unele estimări care circulă printre detectivii blockchain sugerează că pierderile reale s-ar putea extinde cu mult dincolo de această cifră, totalurile urcând până la 8 milioane de dolari. Vezi mai jos.

Fondurile furate au fost apoi canalizate în două portofele, ceea ce este un semn distinctiv familiar al exploit-urilor DeFi coordonate, unde lichiditatea este consolidată rapid.

Atacatorii au vizat logica de lichiditate a lui Bunni

Până la momentul publicării, Bunni nu a publicat încă o autopsie oficială a incidentului, dar dezvoltatorii și cercetătorii care au început revizuirile preliminare cred că atacul a rezultat dintr-o defecțiune a funcției de distribuție a lichidității (LDF) a lui Bunni.

Spre deosebire de alte DEX-uri, cum ar fi modelul standard al Uniswap, Bunni folosește acest mecanism pentru a optimiza randamentele prin distribuirea lichidității în intervalele de preț. 

Potrivit co-fondatorului Kyber Network, Victor Tran, atacatorul a manipulat curba prin executarea de tranzacții de dimensiuni foarte specifice, care au păcălit logica de reechilibrare pentru a calcula greșit cât valorează cota fiecărui furnizor de lichidități.

În practică, acest lucru a permis exploatatorului să repete procesul de mai multe ori fără a declanșa alarme, drenând treptat bazinul. 

Deoarece nu a fost publicat niciun post-mortem oficial, comunitatea așteaptă claritate dacă aceasta a fost o supraveghere izolată a codării sau un defect arhitectural mai profund.

Exploit-urile DeFi continuă să zguduie investitorii cripto

Incidentul urmează, de asemenea, unei serii de vulnerabilități care vizează platformele DeFi emergente.

Cu doar câteva luni mai devreme, Four.Meme, o platformă de lansare a memecoin construită pe BNB Chain, a fost ținta unor exploit-uri consecutive în februarie și martie.

Atacul din martie, efectuat printr-o strategie de manipulare sandwich, a drenat aproximativ 120.000 de dolari, la doar câteva săptămâni după o pierdere separată de 183.000 de dolari. 

Pe întreaga piață, activitatea de exploatare a devenit aproape un calvar obișnuit. Numai în ultimele două luni, industria cripto a pierdut fonduri în valoare de cel puțin 300 de milioane de dolari.

Numai în iulie, hackerii au scăpat cu aproximativ 142 de milioane de dolari în 17 incidente, bursa indiană de criptomonede CoinDCX suferind cea mai grea lovitură din cauza unei breșe de 44 de milioane de dolari.

Pierderile au crescut și mai mult în august, la aproximativ 163 de milioane de dolari, repartizate în 16 incidente separate.

Cel mai mare a venit atunci când un Bitcoiner a căzut pradă unui șiretlic de inginerie socială, cedând 783 BTC în valoare de 91 de milioane de dolari.

Bursa turcească Btcturk a raportat, de asemenea, o pierdere de aproximativ 50 de milioane de dolari, fondurile fiind sifonate din portofelele sale fierbinți în aceeași lună.