Bunni DEX, likidite açığı kapanmaya zorladığı için $2.4M'den yararlandı

Çok ağlı merkezi olmayan bir borsa olan Bunni, bugün erken saatlerde $2,4 milyon için istismar edildi ve karşı önlem olarak operasyonları askıya almaya zorlandı. 

Proje ekibine göre, istismar Ethereum tabanlı akıllı sözleşmelerinde tespit edildi ve projenin desteklenen ağlardaki tüm protokol işlevlerini derhal askıya almasına neden oldu.

"Tüm ağlardaki tüm akıllı sözleşme işlevlerini duraklattık. Ekibimiz aktif olarak araştırıyor ve yakında güncellemeler sağlayacak. Sabrınız için teşekkür ederiz," dedi Bunni, 1 Eylül'de bir X gönderisi aracılığıyla.

Zincir üstü verilere bakıldığında, istismarda kullanılan cüzdan, saldırganların 1,33 milyon doları USDC ve 1,04 milyon doları USDT dahil olmak üzere yaklaşık 2,4 milyon dolarlık stablecoin'i sifonladığını gösterdi.

Yine de, resim ilk göründüğünden daha acımasız olabilir. Blockchain dedektifleri arasında dolaşan bazı tahminler, gerçek kayıpların bu rakamın çok ötesine geçebileceğini ve toplamların 8 milyon dolara kadar çıkabileceğini gösteriyor. Aşağıya bakınız.

Çalınan fonlar daha sonra iki cüzdana aktarıldı, bu da likiditenin hızlı bir şekilde konsolide edildiği koordineli DeFi istismarlarının tanıdık bir özelliğidir.

Saldırganlar Bunni'nin likidite mantığını hedef aldı

Basın zamanı itibariyle, Bunni henüz olayın resmi bir otopsisini yayınlamadı, ancak ön incelemelere başlayan geliştiriciler ve araştırmacılar, saldırının Bunni'nin Likidite Dağıtım İşlevindeki (LDF) bir kusurdan kaynaklandığına inanıyor.

Uniswap'ın standart modeli gibi diğer DEX'lerin aksine Bunni, likiditeyi fiyat aralıklarına dağıtarak getirileri optimize etmek için bu mekanizmayı kullanır. 

Kyber Network'ün kurucu ortağı Victor Tran'a göre saldırgan, yeniden dengeleme mantığını kandırarak her bir likidite sağlayıcısının hissesinin ne kadar değerli olduğunu yanlış hesaplamaya yönlendiren çok özel boyutlarda işlemler gerçekleştirerek eğriyi manipüle etti.

Pratikte bu, istismarcının alarmları tetiklemeden işlemi birden çok kez tekrarlamasına ve havuzu kademeli olarak boşaltmasına izin verdi. 

Resmi bir otopsi yayınlanmadığından, topluluk bunun izole bir kodlama gözetimi mi yoksa daha derin bir mimari kusur mu olduğu konusunda netlik bekliyor.

DeFi istismarları kripto yatırımcılarını sarsmaya devam ediyor

Olay aynı zamanda gelişmekte olan DeFi platformlarını hedef alan bir dizi güvenlik açığını da takip ediyor.

Sadece aylar önce, BNB Chain üzerine inşa edilmiş bir memecoin launchpad'i olan Four.Meme, Şubat ve Mart aylarında arka arkaya istismarların hedefi oldu.

Bir sandviç manipülasyon stratejisiyle gerçekleştirilen Mart saldırısı, 183.000 dolarlık ayrı bir kayıptan sadece haftalar sonra yaklaşık 120.000 dolar tüketti. 

Piyasa genelinde, istismar faaliyeti neredeyse düzenli bir çile haline geldi. Yalnızca son iki ayda, kripto endüstrisi en az $300 milyon değerinde fon kaybetti.

Yalnızca Temmuz ayında, bilgisayar korsanlarının 17 olayda yaklaşık $142 milyon ile kazanç elde ettiğini gördü ve Hintli kripto borsası CoinDCX, $44 milyonluk bir ihlal nedeniyle en ağır darbeyi aldı.

Kayıplar Ağustos ayında daha da artarak 16 ayrı olaya yayılmış yaklaşık 163 milyon dolara ulaştı.

En büyüğü, bir Bitcoin kullanıcısının bir sosyal mühendislik hilesine kurban gitmesi ve 91 milyon dolar değerinde 783 BTC'yi teslim etmesiyle geldi.

Türk borsası Btcturk de yaklaşık 50 milyon dolar zarar bildirdi ve aynı ay sıcak cüzdanlarından çekilen fonlar var.