Exploit del Protocollo Bunni
Il protocollo di finanza decentralizzata Bunni ha subito un exploit da 8,4 milioni di dollari il 2 settembre, quando un attaccante esperto ha sfruttato un prestito flash per manipolare i pool di liquidità sia su Ethereum che su Unichain. L’incidente ha preso di mira i pool weETH/ETH e USDC/USDT, attribuito a un difetto nella logica del contratto intelligente di Bunni, legato a errori di arrotondamento.
Dettagli dell’Attacco
Bunni ha incolpato un bug di arrotondamento per un exploit da 2,3 milioni di dollari, offrendo una ricompensa del 10% per il recupero dei fondi. Secondo il post-mortem di Bunni, l’exploit si è svolto in tre fasi:
- L’attaccante ha preso in prestito 3 milioni di USDT tramite un prestito flash, utilizzandoli per manipolare il prezzo spot del pool USDC/USDT.
- Con il saldo attivo di USDC del pool ridotto a soli 28 wei, l’attaccante ha avviato 44 piccoli prelievi, sfruttando un errore di arrotondamento nel codice di Bunni.
- Ha eseguito un attacco sandwich, effettuando grandi scambi che hanno distorto i prezzi, estraendo profitti prima di restituire il prestito flash.
In totale, l’exploit ha fruttato circa 1,33 milioni di USDC e 1 milione di USDT per l’attaccante.
Conseguenze e Risposta di Bunni
La società di sicurezza blockchain Cyfrin ha confermato che la vulnerabilità derivava dal modo in cui il contratto intelligente di Bunni arrotondava i saldi durante i prelievi. Sebbene il meccanismo fosse progettato per garantire la sicurezza del pool, ripetuti piccoli prelievi hanno creato condizioni favorevoli per sfruttare la logica di arrotondamento.
Bunni ha notato che il suo pool più grande, la coppia USDC/USD₮0 di Unichain, è stato risparmiato a causa della mancanza di liquidità di prestito flash disponibile per montare un attacco. Sfruttare quel pool avrebbe richiesto circa 17 milioni di dollari in asset presi in prestito, ma solo 11 milioni erano disponibili.
Investigazioni e Futuro di Bunni
Bunni ha confermato che gli asset rubati sono ora divisi tra due portafogli collegati all’attaccante. Gli investigatori hanno rintracciato le origini dei fondi, ma hanno incontrato un vicolo cieco dopo aver scoperto che i portafogli erano stati finanziati tramite Tornado Cash, uno strumento di privacy sanzionato. Il team ha contattato direttamente l’attaccante on-chain, offrendo una ricompensa del 10% in cambio del ritorno dei fondi rimanenti.
Nel seguito immediato, Bunni ha sospeso tutte le operazioni, ma ha successivamente riattivato i prelievi per consentire ai fornitori di liquidità di recuperare i loro depositi. I depositi e gli scambi rimangono congelati mentre gli sviluppatori lavorano a una soluzione. Cambiare la direzione di arrotondamento della funzione interessata neutralizza l’attuale vettore di exploit, sebbene il team abbia riconosciuto che sono necessari test più approfonditi e miglioramenti della sicurezza prima di riaprire completamente.
Contesto del Settore delle Criptovalute
Agosto segna il terzo mese peggiore per la sicurezza delle criptovalute, con 163 milioni di dollari persi a causa di hack e truffe. Bunni, un tempo vantando oltre 80 milioni di dollari di valore totale bloccato (TVL) su BNB Chain, ora detiene poco più di 50 milioni dopo l’exploit. L’incidente si aggiunge a una serie di attacchi e truffe che colpiscono il settore.
“Abbiamo trascorso anni a costruire Bunni perché crediamo che sia il futuro degli AMM”, ha dichiarato il team nella sua comunicazione, promettendo di rafforzare il proprio codice e i framework di test per prevenire attacchi simili.
Solo un giorno prima, un utente di Venus Protocol ha perso 13,5 milioni di dollari in una truffa di phishing. Secondo la società di sicurezza blockchain PeckShield, la vittima ha approvato inconsapevolmente una transazione malevola, concedendo permessi sui token che hanno abilitato il furto.
Con phishing, vulnerabilità degli exchange e truffe di uscita che guidano perdite crescenti, agosto ha sottolineato come i difetti tecnici e l’errore umano continuino a tormentare l’industria delle criptovalute.
