Децентрализованная биржа Bunni подверглась атаке
Bunni, децентрализованная биржа, стала жертвой эксплуатации, потеряв около 2.4 миллиона долларов в стейблкоинах. Злоумышленники манипулировали расчетами ликвидности платформы, согласно данным on-chain от нескольких компаний по безопасности в сфере Web3.
«Приложение Bunni пострадало от уязвимости безопасности,» подтвердили представители команды в X во вторник.
«В качестве меры предосторожности мы приостановили все функции смарт-контрактов на всех сетях. Наша команда активно расследует ситуацию и вскоре предоставит обновления,» добавили они.
Детали атаки
Атака была направлена на смарт-контракты Bunni на базе Ethereum. Средства были выведены на адрес, на котором находилось 1.33 миллиона долларов в USDC и 1.04 миллиона долларов в USDT. Основной участник Bunni призвал пользователей как можно скорее вывести свои средства с платформы.
«Если у вас есть деньги на Bunni, уберите их как можно скорее,» написали они в X.
Bunni направляет ликвидность через Euler Finance, децентрализованную платформу кредитования, которая позволяет пользователям занимать, одалживать и разрабатывать структурированные криптовалютные продукты. В свете эксплуатации соучредитель и CEO Euler, Майкл Бентли, уточнил, что сам протокол не пострадал от уязвимости.
Как Bunni стал жертвой взлома
Хотя технический анализ еще не завершен, ранний анализ от разработчиков и исследователей указывает на недостаток в том, как Bunni обрабатывает ребалансировку ликвидности. Bunni, построенный на основе Uniswap v4, использует собственный механизм, называемый Функцией Распределения Ликвидности (LDF), вместо стандартной логики Uniswap.
Этот механизм позволяет Bunni оптимизировать распределение ликвидности по ценовым диапазонам, стремясь увеличить доходность для поставщиков ликвидности. Согласно Виктору Трану, соучредителю KyberNetwork, злоумышленник смог манипулировать кривой LDF, выполняя сделки определенного размера, которые вызывали сбой логики ребалансировки.
«Злоумышленник понял, что может манипулировать этой LDF, совершая сделки очень конкретных размеров,» написал Тран в X.
«Эти тщательно подобранные суммы вызвали сбой в расчете ребалансировки, давая неверные результаты о том, сколько долей должен владеть каждый LP,» добавил он. Злоумышленник, похоже, выполнил эксплуатацию несколько раз, постепенно выводя средства протокола, не вызывая немедленных тревог.
Статистика взломов в криптовалютной сфере
В августе крипто-хакеры и мошенники украли более 163 миллионов долларов в 16 отдельных инцидентах, что на 15% больше, чем в июле, когда было украдено 142 миллиона долларов. Хотя эта цифра все еще на 47% ниже по сравнению с прошлым годом, она отражает тревожный рост целевых атак по мере того, как крипторынки набирают обороты.
PeckShield и другие эксперты по кибербезопасности отметили стратегический сдвиг в поведении хакеров, которые теперь сосредоточены на централизованных биржах и высокоценных лицах, а не на меньших, децентрализованных целях.
Наибольшая потеря в августе произошла в результате атаки социальной инженерии, когда биткоинер был обманут и отправил 783 BTC (стоимостью 91 миллион долларов) злоумышленникам, выдававшим себя за агентов поддержки криптобиржи и поставщика аппаратных кошельков.
