Bursa BunniXYZ Ethereum mengalami serangkaian aliran keluar yang tidak sah. Penyelidik on-chain mengidentifikasi peristiwa ini sebagai peretasan, dengan kerugian sekitar $2,3 juta.
BunniXYZ, sebuah bursa terdesentralisasi Ethereum, telah dieksploitasi melalui salah satu smart contract-nya. Peretas memindahkan sebagian besar stablecoin, dengan total kerugian sebesar $2,3 juta.
Berdasarkan riwayat transaksi , peretas menyerang vault USDT dan USDC, lalu memindahkan token melalui ekosistem Ethereum, dan akhirnya berakhir dengan campuran ETH dan stablecoin. Dalam beberapa menit pertama, proyek BunniXYZ mengenali serangan terhadap aplikasinya, lalu menutup semua smart contract.
Segera setelah peretasan, pelaku eksploitasi terus menukar dana menjadi ETH melalui protokol DeFi lainnya.
Dalam satu jam setelah serangan, peretas belum memindahkan atau mencampur dana lebih lanjut, kecuali untuk pergerakan awal melalui protokol DeFi. Serangan terhadap BunniXYZ merupakan bagian dari rangkaian peretasan kecil terbaru, dengan nilai curian kurang dari $10 juta.
Bahkan serangan yang relatif kecil sering kali merusak reputasi protokol dan menghancurkan pusat DeFi baru. Salah satu eksploitasi smart contract terbaru terjadi pada BetterBank, seperti yang dilaporkan oleh Cryptopolitan . Serangan semacam ini menimbulkan kecurigaan adanya pekerjaan orang dalam, atau kode berbahaya yang disuntikkan ke Web3 oleh peretas DPRK.
BunniXYZ diserang saat puncak
BunniXYZ adalah DEX yang menggunakan Ethereum dan Unichain. Pasar baru ini juga menggunakan teknologi Uniswap V4 untuk membuat vault dan pasar khusus dengan aturan perdagangan yang lebih kompleks.
Seperti pasar lainnya, BunniXYZ diserang segera setelah mencapai puncak nilai terkunci secara lokal. Pada akhir Agustus, bursa ini menyimpan hingga $60 juta di vault-nya. Pasar ini masih relatif kecil, setelah diluncurkan pada bulan Februari dan menemukan tempatnya di antara protokol DeFi baru.
Agustus juga merupakan salah satu bulan tersukses bagi DEX ini, dengan volume lebih dari $1 miliar. Bursa ini secara khusus membangun likuiditas untuk rehypothecation , sambil menghindari likuidasi selama penurunan pasar. Likuiditas DEX juga terhubung ke Euler Protocol untuk pendapatan pasif.
BunniXYZ memanfaatkan volume Uniswap V4 yang meningkat, karena protokol tersebut menarik lebih dari $393 juta ke vault-nya di Ethereum dan $298 juta di Unichain.
Peretas mengeksploitasi perhitungan likuiditas BunniXYZ
Analisis pasca-peretasan menunjukkan BunniXYZ rentan karena kontrak perhitungan ulang likuiditasnya yang spesifik. DEX ini adalah liquidity hook, menggunakan teknologi Uniswap V4. Namun, alih-alih menggunakan perhitungan likuiditas Uniswap, BunniXYZ menghitung ulang Liquidity Distribution Function.
Pelaku eksploitasi menemukan bahwa Liquidity Distribution Function dapat rusak akibat perdagangan dengan ukuran tertentu. Ini berarti smart contract akan membayar lebih banyak token dari pool likuiditas daripada yang sebenarnya dimiliki, sehingga menguras bursa. Penyerang harus mengulangi beberapa transaksi untuk akhirnya mengumpulkan $2,3 juta, lalu menukarnya menjadi ETH. Ia kemudian menyimpan ETH tersebut ke Aave, memegang $1,33 juta di AethUSDC dan $1 juta di AethUSDT berdasarkan saldo akhir dompet tersebut.
BunniXYZ telah menjalani audit sebelumnya, namun bug LDF mungkin muncul pada versi bursa yang lebih baru. Penyebab yang paling mungkin adalah bug presisi, yang mengharuskan peretas melakukan beberapa transaksi untuk mengumpulkan saldo lebih besar berdasarkan perhitungan ulang yang cacat.
Jika Anda membaca ini, Anda sudah selangkah lebih maju. Tetaplah di sana dengan newsletter kami.
