Exploits e Sicurezza nel Mondo delle Criptovalute
L’exchange decentralizzato Bunni è stato vittima di un exploit, perdendo circa 2,4 milioni di dollari in stablecoin, dopo che gli attaccanti hanno manipolato i calcoli di liquidità della piattaforma, secondo i dati on-chain forniti da diverse aziende di sicurezza Web3.
“L’app Bunni è stata colpita da un exploit di sicurezza,” ha confermato il team su X martedì. “Per precauzione, abbiamo sospeso tutte le funzioni dei contratti intelligenti su tutte le reti. Il nostro team sta indagando attivamente e fornirà aggiornamenti a breve,” ha aggiunto il team.
L’attacco ha preso di mira i contratti intelligenti basati su Ethereum di Bunni. I fondi sono stati drenati verso un indirizzo che deteneva 1,33 milioni di dollari in USDC e 1,04 milioni di dollari in USDT. Un contributore principale di Bunni ha esortato gli utenti a ritirare i fondi dalla piattaforma il prima possibile.
“Se hai soldi su Bunni, rimuovili al più presto,” hanno scritto su X.
Bunni canalizza liquidità attraverso Euler Finance, una piattaforma di prestito decentralizzata. In seguito all’exploit, il co-fondatore e CEO di Euler, Michael Bentley, ha chiarito che il protocollo stesso rimane immune dall’exploit. Cointelegraph ha contattato Bunni ed Euler per un commento, ma non aveva ricevuto risposta al momento della pubblicazione.
Come Bunni è Caduto Vittima dell’Hack
Sebbene un’analisi tecnica post-mortem rimanga incompleta, le prime analisi da parte di sviluppatori e ricercatori indicano un difetto nel modo in cui Bunni gestisce il riequilibrio della liquidità. Bunni, costruito su Uniswap v4, utilizza un meccanismo personalizzato chiamato Liquidity Distribution Function (LDF) invece della logica predefinita di Uniswap. Questo meccanismo consente a Bunni di ottimizzare l’allocazione della liquidità attraverso le fasce di prezzo, mirando ad aumentare i ritorni per i fornitori di liquidità.
Secondo Victor Tran, co-fondatore di KyberNetwork, l’attaccante è stato in grado di manipolare la curva LDF eseguendo operazioni di dimensioni specifiche che hanno attivato una logica di riequilibrio difettosa.
“L’exploit ha capito che poteva manipolare questo LDF facendo operazioni di dimensioni molto specifiche,” ha scritto Tran su X. “Questi importi scelti con cura hanno causato il malfunzionamento del calcolo di riequilibrio, dando risultati errati su quanto ciascuna quota LP dovrebbe possedere,” ha aggiunto.
L’attaccante sembra aver eseguito l’exploit più volte, drenando gradualmente i fondi del protocollo senza attivare immediatamente allarmi.
Statistiche sugli Hack Crittografici
Ad agosto, gli hacker e truffatori crittografici hanno rubato oltre 163 milioni di dollari in 16 incidenti separati, segnando un aumento del 15% rispetto ai 142 milioni di luglio. Sebbene la cifra sia ancora inferiore del 47% su base annua, riflette un preoccupante aumento degli attacchi mirati mentre i mercati delle criptovalute guadagnano slancio.
PeckShield e altri esperti di cybersecurity hanno notato un cambiamento strategico nel comportamento degli hacker, con gli attaccanti ora concentrati su exchange centralizzati e individui di alto valore, piuttosto che su obiettivi decentralizzati più piccoli. La perdita più grande di agosto è derivata da un attacco di ingegneria sociale, in cui un Bitcoiner è stato ingannato nell’inviare 783 BTC (del valore di 91 milioni di dollari) a attaccanti che si spacciavano per agenti di supporto di un exchange di criptovalute e fornitore di portafogli hardware.
