A exchange BunniXYZ Ethereum registrou uma série de saídas não autorizadas. Investigadores on-chain identificaram o evento como um hack, com perdas em torno de US$ 2,3 milhões.
BunniXYZ, uma exchange descentralizada de Ethereum, foi explorada através de um de seus contratos inteligentes. O hacker movimentou principalmente stablecoins, totalizando uma perda de US$ 2,3 milhões.
Com base no histórico de transações , o hacker atacou os cofres de USDT e USDC, depois movimentou os tokens pelo ecossistema Ethereum, terminando com uma mistura de ETH e stablecoins. Nos primeiros minutos, o projeto BunniXYZ reconheceu o ataque ao seu aplicativo, fechando todos os contratos inteligentes.
Pouco depois do hack, o explorador continuou a trocar fundos por ETH através de outros protocolos DeFi.
Na hora seguinte ao ataque, o hacker ainda não havia movimentado ou misturado os fundos, exceto pelos movimentos iniciais através de protocolos DeFi. O ataque contra a BunniXYZ faz parte de uma recente série de hacks relativamente pequenos, roubando menos de US$ 10 milhões.
Mesmo ataques relativamente pequenos costumam custar a reputação dos protocolos e destruir novos hubs DeFi. Um dos exploits de contrato inteligente mais recentes foi contra a BetterBank, conforme relatado pela Cryptopolitan . Esses ataques levantam suspeitas de envolvimento interno ou código malicioso injetado no Web3 por hackers da DPRK.
BunniXYZ atacada no auge
BunniXYZ é uma DEX que utiliza tanto Ethereum quanto Unichain. O novo mercado também utiliza a tecnologia Uniswap V4 para criar cofres e mercados especiais com regras de negociação mais complexas.
Assim como outros mercados, a BunniXYZ foi atacada logo após atingir um pico local de valor bloqueado. No final de agosto, a exchange mantinha até US$ 60 milhões em seus cofres. O mercado ainda era relativamente pequeno, tendo sido lançado em fevereiro e encontrado seu espaço entre novos protocolos DeFi.
Agosto também foi um dos meses mais bem-sucedidos para a DEX, com mais de US$ 1 bilhão em volumes. A exchange estava especificamente construindo liquidez para rehypothecation , enquanto evitava liquidações durante quedas do mercado. A liquidez da DEX também estava vinculada ao Euler Protocol para renda passiva.
A BunniXYZ surfou no aumento dos volumes da Uniswap V4, já que o protocolo atraiu mais de US$ 393 milhões para seus cofres no Ethereum e US$ 298 milhões na Unichain.
Hacker explorou cálculo de liquidez da BunniXYZ
Análises pós-hack mostraram que a BunniXYZ era vulnerável devido ao seu contrato específico de recálculo de liquidez. A DEX é um hook de liquidez, utilizando a tecnologia Uniswap V4. No entanto, em vez de usar o cálculo de liquidez da Uniswap, a BunniXYZ recalcula a Liquidity Distribution Function.
O explorador descobriu que a Liquidity Distribution Function poderia ser quebrada por negociações de tamanhos específicos. Isso fazia com que o contrato inteligente pagasse mais tokens do pool de liquidez do que realmente possuía, drenando a exchange. O atacante precisou repetir múltiplas transações para acumular US$ 2,3 milhões, depois trocá-los por ETH. Em seguida, ele depositou o ETH na Aave, mantendo US$ 1,33 milhão em AethUSDC e US$ 1 milhão em AethUSDT com base no saldo final da carteira.
A BunniXYZ já passou por auditorias anteriores, mas o bug do LDF pode ter surgido em uma versão posterior da exchange. A causa mais provável é um bug de precisão, que exigiu que o hacker realizasse múltiplas transações para acumular um saldo maior com base no recálculo falho.
Se você está lendo isso, já está à frente. Continue assim com nossa newsletter.
