La plateforme d’échange BunniXYZ Ethereum a connu une série de sorties non autorisées. Des enquêteurs on-chain ont identifié l’événement comme un piratage, avec des pertes d’environ 2,3 millions de dollars.
BunniXYZ, une plateforme d’échange décentralisée sur Ethereum, a été exploitée via l’un de ses smart contracts. Le hacker a principalement déplacé des stablecoins, pour une perte totale de 2,3 millions de dollars.
Selon l’ historique des transactions , le hacker a attaqué les coffres USDT et USDC, puis a déplacé les tokens à travers l’écosystème Ethereum, se retrouvant avec un mélange d’ETH et de stablecoins. Dans les premières minutes, le projet BunniXYZ a reconnu l’attaque contre son application, fermant tous les smart contracts.
Peu après le piratage, l’exploiteur a continué à échanger des fonds en ETH via d’autres protocoles DeFi.
Dans l’heure qui a suivi l’attaque, le hacker n’a pas encore déplacé ou mélangé les fonds, à l’exception des mouvements initiaux via les protocoles DeFi. L’attaque contre BunniXYZ fait partie de la dernière série de piratages relativement mineurs, volant moins de 10 millions de dollars.
Même les attaques relativement petites coûtent souvent la réputation des protocoles et détruisent de nouveaux hubs DeFi. L’une des exploitations de smart contract les plus récentes a visé BetterBank, comme l’a rapporté Cryptopolitan reported . De telles attaques suscitent des soupçons de complicités internes, ou de code malveillant injecté dans le Web3 par des hackers de la RPDC.
BunniXYZ attaqué à son apogée
BunniXYZ est un DEX utilisant à la fois Ethereum et Unichain. Le nouveau marché utilise également la technologie Uniswap V4 pour créer des coffres spéciaux et des marchés avec des règles de trading plus complexes.
Comme pour d’autres marchés, BunniXYZ a été attaqué peu après avoir atteint un pic local de valeur verrouillée. Fin août, la plateforme détenait jusqu’à 60 millions de dollars dans ses coffres. Le marché restait relativement petit, après son lancement en février et sa percée parmi les nouveaux protocoles DeFi.
Août a également été l’un des mois les plus fructueux pour le DEX, avec plus de 1 milliard de dollars de volumes. La plateforme construisait spécifiquement de la liquidité pour la rehypothecation , tout en évitant les liquidations lors des baisses de marché. La liquidité du DEX était également liée à Euler Protocol pour des revenus passifs.
BunniXYZ a profité de l’augmentation des volumes d’Uniswap V4, le protocole ayant attiré plus de 393 millions de dollars dans ses coffres sur Ethereum et 298 millions de dollars sur Unichain.
Le hacker a exploité le calcul de liquidité de BunniXYZ
L’analyse post-piratage a montré que BunniXYZ était vulnérable en raison de son contrat spécifique de recalcul de liquidité. Le DEX est un hook de liquidité, utilisant la technologie Uniswap V4. Cependant, au lieu d’utiliser le calcul de liquidité d’Uniswap, BunniXYZ recalcule la Liquidity Distribution Function.
L’exploiteur a découvert que la Liquidity Distribution Function pouvait être compromise par des transactions de tailles spécifiques. Cela signifiait que le smart contract versait plus de tokens du pool de liquidité que ce qui était réellement détenu, finissant par vider la plateforme. L’attaquant a dû répéter plusieurs transactions pour accumuler finalement 2,3 millions de dollars, puis les échanger contre de l’ETH. Il a ensuite déposé l’ETH sur Aave, détenant 1,33 million de dollars en AethUSDC et 1 million de dollars en AethUSDT selon le solde final du portefeuille.
BunniXYZ a déjà subi des audits, mais le bug LDF pourrait être apparu avec une version ultérieure de la plateforme. La cause la plus probable est un bug de précision, qui a obligé le hacker à effectuer plusieurs transactions pour accumuler un solde plus important basé sur le recalcul défectueux.
Si vous lisez ceci, vous avez déjà une longueur d’avance. Restez informé grâce à notre newsletter.
