Bunni DEX utnyttjas för 2,4 miljoner dollar när likviditetsbrist tvingar fram nedstängning

Bunni, en decentraliserad börs med flera nätverk, utnyttjades för 2,4 miljoner dollar tidigare idag, vilket tvingade den att avbryta verksamheten som en motåtgärd.

Enligt projektgruppen identifierades exploateringen i dess Ethereum-baserade smarta kontrakt, vilket fick projektet att omedelbart stänga av alla protokollfunktioner över nätverk som stöds.

"Vi har pausat alla funktioner för smarta kontrakt i alla nätverk. Vårt team undersöker aktivt och kommer att ge uppdateringar snart. Tack för ditt tålamod", meddelade Bunni via ett inlägg den 1 september.

Om man tittar på on-chain-data visade plånboken som användes i exploateringen att angriparna sög åt sig cirka 2,4 miljoner dollar i stablecoins, inklusive 1,33 miljoner dollar i USDC och 1,04 miljoner dollar i USDT.

Ändå kan bilden vara dystrare än den först verkar. Vissa uppskattningar som cirkulerar bland blockchain-detektiver tyder på att de verkliga förlusterna kan sträcka sig långt utöver den siffran, med summor som klättrar uppåt 8 miljoner dollar. Se nedan.

De stulna pengarna kanaliserades sedan till två plånböcker, vilket är ett välkänt kännetecken för samordnade DeFi-exploateringar där likviditeten snabbt konsolideras.

Angripare riktade in sig på Bunnis likviditetslogik

I skrivande stund har Bunni ännu inte publicerat en officiell obduktion av händelsen, men utvecklare och forskare som har påbörjat preliminära granskningar tror att attacken berodde på en brist i Bunnis likviditetsfördelningsfunktion (LDF).

Till skillnad från andra DEX:er som Uniswaps standardmodell använder Bunni denna mekanism för att optimera avkastningen genom att fördela likviditet över prisklasser.

Enligt Kyber Networks medgrundare Victor Tran manipulerade angriparen kurvan genom att utföra affärer av mycket specifika storlekar som lurade ombalanseringslogiken att felberäkna hur mycket varje likviditetsleverantörs andel var värd.

I praktiken gjorde detta det möjligt för exploatören att upprepa processen flera gånger utan att utlösa larm, vilket gradvis tömde poolen.

Eftersom ingen officiell obduktion har släppts väntar communityn på klarhet i om detta var ett isolerat kodningsfel eller ett djupare arkitektoniskt fel.

DeFi-exploateringar fortsätter att skaka kryptoinvesterare

Incidenten följer också på en rad sårbarheter som riktar sig mot nya DeFi-plattformar.

Bara några månader tidigare utsattes Four.Meme, en startplatta för memecoin byggd på BNB Chain, i två raka attacker i februari och mars.

Attacken i mars, som genomfördes via en sandwich-manipulationsstrategi, dränerade ungefär 120 000 dollar, bara några veckor efter en separat förlust på 183 000 dollar.

Över hela marknaden har exploateringsaktivitet nästan blivit en vanlig prövning. Bara under de senaste två månaderna har kryptoindustrin förlorat minst 300 miljoner dollar i pengar.

Bara i juli fick hackare cirka 142 miljoner dollar i 17 incidenter, där den indiska kryptobörs CoinDCX drabbades av det tyngsta slaget på grund av ett intrång på 44 miljoner dollar.

Förlusterna steg ytterligare i augusti till ungefär 163 miljoner dollar fördelat på 16 separata incidenter.

Den enskilt största kom när en Bitcoiner föll offer för ett socialt ingenjörsknep och gav upp 783 BTC till ett värde av 91 miljoner dollar.

Den turkiska börsen Btcturk rapporterade också en förlust på cirka 50 miljoner dollar, och pengarna togs från dess heta plånböcker samma månad.