Exploits bei der dezentralen Börse Bunni
Die dezentrale Börse Bunni wurde Opfer eines Exploits und verlor etwa 2,4 Millionen Dollar in Stablecoins, nachdem Angreifer die Liquiditätsberechnungen der Plattform manipulierten, wie Onchain-Daten mehrerer Web3-Sicherheitsfirmen zeigen.
„Die Bunni-App wurde von einem Sicherheits-Exploit betroffen,“ bestätigte das Team am Dienstag auf X. „Als Vorsichtsmaßnahme haben wir alle Smart-Contract-Funktionen auf allen Netzwerken pausiert. Unser Team untersucht aktiv und wird bald Updates bereitstellen,“ fügte das Team hinzu.
Der Angriff richtete sich gegen die Ethereum-basierten Smart Contracts von Bunni. Gelder wurden an eine Adresse abgezogen, die 1,33 Millionen Dollar in USDC und 1,04 Millionen Dollar in USDt hielt. Ein Kernbeitragender von Bunni forderte die Nutzer auf, ihre Gelder so schnell wie möglich von der Plattform abzuheben.
„Wenn Sie Geld auf Bunni haben, entfernen Sie es so schnell wie möglich,“ schrieben sie auf X.
Bunni leitet Liquidität über Euler Finance, eine dezentrale Kreditplattform, die es Nutzern ermöglicht, zu leihen, zu verleihen und strukturierte Krypto-Produkte zu gestalten. Angesichts des Exploits stellte Michael Bentley, Mitbegründer und CEO von Euler, klar, dass das Protokoll selbst von dem Exploit unberührt bleibt. Cointelegraph wandte sich an Bunni und Euler für einen Kommentar, hatte jedoch bis zur Veröffentlichung keine Antwort erhalten.
Wie Bunni Opfer des Hacks wurde
Während eine technische Nachuntersuchung noch unvollständig ist, deuten frühe Analysen von Entwicklern und Forschern auf einen Fehler in der Art und Weise hin, wie Bunni das Liquiditäts-Rebalancing handhabt. Bunni, das auf Uniswap v4 basiert, verwendet einen benutzerdefinierten Mechanismus namens Liquidity Distribution Function (LDF) anstelle der Standardlogik von Uniswap. Dieser Mechanismus ermöglicht es Bunni, die Liquiditätszuweisung über Preisbereiche hinweg zu optimieren, um die Renditen für Liquiditätsanbieter zu erhöhen.
Laut Victor Tran, Mitbegründer von KyberNetwork, konnte der Angreifer die LDF-Kurve manipulieren, indem er Trades spezifischer Größen ausführte, die fehlerhafte Rebalancing-Logik auslösten.
„Der Ausbeuter stellte fest, dass er diese LDF manipulieren konnte, indem er Trades sehr spezifischer Größen tätigte,“ schrieb Tran auf X. „Diese sorgfältig gewählten Beträge führten dazu, dass die Rebalancing-Berechnung fehlerhaft wurde und falsche Ergebnisse darüber lieferte, wie viel jeder LP-Anteil besitzen sollte,“ fügte er hinzu.
Der Angreifer scheint den Exploit mehrfach ausgeführt zu haben, wodurch die Gelder des Protokolls schrittweise abgezogen wurden, ohne sofort Alarm auszulösen.
Krypto-Hacks übersteigen im August 163 Millionen Dollar
Im August stahlen Krypto-Hacker und Betrüger über 163 Millionen Dollar in 16 separaten Vorfällen, was einem Anstieg von 15 % im Vergleich zu den 142 Millionen Dollar im Juli entspricht. Obwohl die Zahl im Jahresvergleich immer noch um 47 % niedriger ist, spiegelt sie einen besorgniserregenden Anstieg gezielter Angriffe wider, während die Krypto-Märkte an Schwung gewinnen.
PeckShield und andere Cybersicherheitsexperten bemerkten einen strategischen Wandel im Verhalten der Hacker, wobei sich die Angreifer nun auf zentrale Börsen und hochpreisige Einzelpersonen konzentrieren, anstatt auf kleinere, dezentrale Ziele. Der größte Verlust im August resultierte aus einem Social-Engineering-Angriff, bei dem ein Bitcoiner dazu verleitet wurde, 783 BTC (im Wert von 91 Millionen Dollar) an Angreifer zu senden, die sich als Support-Mitarbeiter einer Krypto-Börse und Hardware-Wallet-Anbieter ausgaben.
