Bunni DEX、流動性リバランス攻撃で240万ドルの損失
- Bunni DEXのエクスプロイトにより、Uniswap v4のフックを通じて流動性ロジックが標的となり、240万ドルが流出しました。
- 攻撃者は特定のサイズの取引を利用して計算を破壊し、ステーブルコインを流出させました。
- 暗号資産のハッキング被害は8月に1億6300万ドルに増加し、デジタル市場における脅威の変化を示しています。
分散型取引所Bunniは、Ethereumベースのスマートコントラクトの脆弱性を攻撃者に突かれ、約240万ドルを失いました。複数のWeb3セキュリティ企業によるオンチェーンデータで、USDCおよびUSDTのステーブルコインの損失が確認されています。攻撃者はBunniの流動性分配ロジックを操作し、資金をUSDCで133万ドル、USDTで104万ドルを保有するアドレスに流出させました。彼らは、価格帯全体で流動性を最適化するために設計されたLiquidity Distribution Function(LDF)の脆弱性を悪用しました。
Bunniのコアコントリビューターである@Psaul26ixは、ユーザーに資金の引き出しを促しました。「Bunniに資金がある場合は、できるだけ早く引き出してください」と投稿しています。この警告は、流動性が脆弱なプールに残っている場合、攻撃者が資産を引き続き流出させる可能性があるとの懸念を受けて発せられました。
その後、BunniはXで声明を発表し、侵害を確認しました。「Bunniアプリはセキュリティエクスプロイトの影響を受けています」とチームは発表しました。また、予防措置として、ネットワーク全体のすべてのスマートコントラクト機能が一時停止されたことも付け加えました。
フックと拡大する攻撃対象領域
BunniはUniswap v4のフックシステム上で動作しています。Uniswap LabsのCEOであるHayden Adamsは、フックを「プール、スワップ、手数料、LPポジションの相互作用をカスタマイズするためのプラグイン」と説明しています。この機能により、プロトコルはUniswapのフレームワーク上に独自の機能を追加できます。
Uniswap v4はフラッシュアカウンティング、シングルトンアーキテクチャ、ネイティブETHサポートなどの高度な機能を備えていますが、フックは新たな攻撃ポイントを生み出します。Bunniのエクスプロイトは、カスタマイズが強力である一方で、メカニズムが十分にテストされていない場合、リスクが増大することを示しました。
KyberNetworkの共同創設者であるVictor Tranは、エクスプロイトの仕組みを詳述しました。「エクスプロイターは、非常に特定のサイズの取引を行うことでこのLDFを操作できることに気付きました」と彼はXで述べています。Tranは、これらの取引がリバランス計算を破壊し、流動性提供者のシェアに対して誤った結果を生み出したと説明しました。
攻撃者はこのエクスプロイトを複数回繰り返し、即時の警報を引き起こすことなく、徐々に数百万ドルを流出させました。これは、カスタムロジックの脆弱性が標準的な検出システムを回避するステルス攻撃を可能にすることを示しています。
DeFiにおける広範なセキュリティ懸念
Bunniの流動性はEuler Financeを通じて機能しており、これは貸付・借入契約であり、金融商品も構築しています。攻撃後、Eulerの創設者であるMichael Bentleyは、Bunniが流動性をEulerに出し入れすることがあるが、Euler自体には影響がなかったと説明しました。彼の説明は、より大きな連鎖的崩壊への懸念に対応するものでした。
新しいDeFiリリースの最大のセールスポイントの一つは、自動リバランス、柔軟な手数料構造、即時の資本利用可能性などの高度な機能の追加です。しかし、これらのイノベーションは、現実世界の攻撃シナリオでストレステストされることがほとんどないため、新たな脆弱性をもたらすことが多いです。
関連:暗号資産のハッキング被害、8月に1億6300万ドルに急増、攻撃が15%増加
このようなリスクに対処するため、セキュリティ専門家は予防措置の重要性を強調しています。推奨される実践には、正式な監査、敵対的シミュレーション、時間遅延デプロイメント、十分な資金を持つバグバウンティプログラムなどが含まれます。これらの対策は、資産会計を変更するフックやその他の機能にとって不可欠であると専門家は指摘しています。
Bunniの事件は、より大きなトレンドにも当てはまります。PeckShieldによると、ハッカーは8月に16件の事件で1億6300万ドル以上を盗み、7月の1億4200万ドルから15%増加しました。年間ベースでは被害は47%減少していますが、攻撃者は戦略を変えているようです。
免責事項:本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。
こちらもいかがですか?
米国Bitcoin ETF、楽観的な市場ムードの中で7億4100万ドルの流入を記録
Shibariumブリッジが「高度な」フラッシュローン攻撃を受け、240万ドルが流出
Shibariumブリッジは、Layer 2ネットワークとEthereumを接続するもので、金曜日に「高度な」フラッシュローン攻撃を受け、240万ドルが流出しました。Shiba Inuの開発者たちは、バリデーターキーの切り替えとセキュリティ確保の間、ステーキング、アンステーキング、および関連フローを一時停止しました。攻撃者が一時的なバリデーターパワーを獲得するために使用した460万BONEトークンはロックされています。攻撃を受けて、BONEの価格は急騰した後、急落しました。
Ethereum Foundationは、プライベートな書き込み、読み取り、証明を含むエンドツーエンドのプライバシーロードマップを策定
Ethereum Foundationの「Privacy & Scaling Explorations」チームは「Privacy Stewards of Ethereum」へリブランディングし、ブロックチェーン上で包括的なエンドツーエンドのプライバシー構築に向けた現状の進捗をまとめたロードマップを公開しました。このロードマップは、プライベートな書き込み、プライベートな読み取り、プライベートな証明という3つの重点分野に焦点を当てており、Ethereum上でのプライベートなオンチェーンアクションを普及させ、安価かつコンプライアンスに準拠したものにすることを目指しています。
PancakeSwapがBNB ChainでゲーミファイドされたBitcoinおよびEthereumの価格予測機能を追加
PancakeSwapは、BNB Chain上の予測市場を拡大し、ユーザーがビットコインとイーサリアムの価格変動に対して、5分間の短期ラウンドでベットできるようになりました。
暗号資産価格
もっと見る
