分散型取引所BunniXYZ、流動性エクスプロイトで840万ドルを損失

分散型取引所（DEX）BunniXYZは、流動性に基づくセキュリティエクスプロイトにより、約840万ドルを失ったと報じられています。

オンチェーンセキュリティ企業Hackenによると、DEXの資金のうち600万ドルがUnichainブロックチェーンを通じて盗まれ、240万ドルがEthereumを通じて盗まれました。すべてのUnichain資金はAcross Protocolを使用してEthereumにブリッジされました。

BunniXYZはツイートで攻撃を確認し、ネットワーク上のすべてのスマートコントラクトの活動を一時停止し、攻撃の状況を「積極的に調査中」であると述べました。また、近日中にアップデートを提供すると付け加えました。

2025年2月に設立されたBunniXYZは、自動マーケットメーカーUniswap v4を基盤としており、主にEthereumおよびUnichainブロックチェーンを利用しています。DeFiLlamaによると、現在のクロスチェーンのTotal Value Locked（TVL）は5,000万ドル強ですが、今年8月初旬には8,000万ドルを超えていました。

レンディングプロトコルEulerの共同創設者Michael Bentleyは、ツイートでユーザーにBunniから資金を引き出すよう勧告し、DEXがEuler内外で資金をリバランスしているものの、レンディングプロトコル自体は「影響を受けておらず、リスクもない」と付け加えました。Eulerは2023年に大規模なエクスプロイトを受け、ハッカーに約2億ドルを盗まれましたが、その大部分は後に回収されました。

何が起こったのか？

Kyber Networkの共同創設者でオンチェーンアナリストのVictor Tranによると、ハッカーはBunniの「流動性カーブ」、別名LDF（Liquidity Density Function）を操作しました。これは、取引所内にどれだけ余分な流動性が存在するかを計算し、トークンの適切な比率を維持するために流動性プールをリバランスするシステムです。

Tranによれば、ハッカーは「非常に特定のサイズの取引」を行うことでこのLDFを操作しました。これによりリバランス計算が破綻し、各流動性プールシェアが所有すべき量の計算結果が誤ってしまいました。

このプロセスを繰り返すことで、ハッカーは本来引き出せる以上のトークンをBunniから引き出したとされています。

Bunni自身は、攻撃のメカニズムについてはまだ確認していません。