На бирже BunniXYZ Ethereum произошла серия несанкционированных выводов средств. Блокчейн-исследователи определили это событие как взлом, с потерями около $2.3M.
BunniXYZ, децентрализованная биржа на Ethereum, была скомпрометирована через один из своих смарт-контрактов. Хакер вывел в основном стейблкоины, общий ущерб составил $2.3M.
Согласно истории транзакций , хакер атаковал хранилища USDT и USDC, затем переместил токены через экосистему Ethereum, в итоге получив смесь ETH и стейблкоинов. В первые минуты после атаки проект BunniXYZ распознал атаку на своё приложение и закрыл все смарт-контракты.
Сразу после взлома злоумышленник продолжил обменивать средства на ETH через другие DeFi-протоколы.
В течение часа после атаки хакер ещё не переместил и не смешал средства, за исключением первоначальных перемещений через DeFi-протоколы. Атака на BunniXYZ является частью последней серии относительно небольших взломов, при которых похищается менее $10M.
Даже относительно небольшие атаки часто наносят ущерб репутации протоколов и разрушают новые DeFi-хабы. Одной из последних атак на смарт-контракты стала атака на BetterBank, как сообщал Cryptopolitan reported . Подобные атаки вызывают подозрения в инсайдерских действиях или внедрении вредоносного кода в Web3 хакерами из КНДР.
BunniXYZ атакован на пике
BunniXYZ — это DEX, использующий как Ethereum, так и Unichain. Новый рынок также использует технологию Uniswap V4 для создания специальных хранилищ и рынков с более сложными правилами торговли.
Как и на других рынках, BunniXYZ подвергся атаке вскоре после достижения локального пика по заблокированной стоимости. В конце августа на бирже находилось до $60M в хранилищах. Рынок всё ещё оставался относительно небольшим после запуска в феврале и поиска своего места среди новых DeFi-протоколов.
Август также стал одним из самых успешных месяцев для DEX, с объёмом торгов более $1B. Биржа специально наращивала ликвидность для rehypothecation , избегая ликвидаций во время падения рынка. Ликвидность DEX также была связана с Euler Protocol для пассивного дохода.
BunniXYZ воспользовался увеличением объёмов Uniswap V4, поскольку протокол привлёк более $393M в свои хранилища на Ethereum и $298M на Unichain.
Хакер использовал уязвимость в расчёте ликвидности BunniXYZ
Анализ после взлома показал, что BunniXYZ был уязвим из-за специфического контракта перерасчёта ликвидности. DEX представляет собой liquidity hook, использующий технологию Uniswap V4. Однако вместо использования расчёта ликвидности Uniswap, BunniXYZ пересчитывает Liquidity Distribution Function.
Злоумышленник обнаружил , что Liquidity Distribution Function может быть нарушена при сделках определённого размера. Это означало, что смарт-контракт выплачивал больше токенов из пула ликвидности, чем реально имелось, что приводило к опустошению биржи. Атакующему пришлось провести несколько транзакций, чтобы в итоге получить $2.3M, а затем обменять их на ETH. Затем он внёс ETH в Aave, удерживая $1.33M в AethUSDC и $1M в AethUSDT согласно финальному балансу кошелька.
BunniXYZ проходил предыдущие аудиты, но ошибка LDF могла появиться в более поздней версии биржи. Наиболее вероятной причиной является ошибка точности, которая требовала от хакера проведения нескольких транзакций для увеличения баланса на основе некорректного перерасчёта.
Если вы читаете это, вы уже впереди. Оставайтесь с нами, подписавшись на нашу рассылку.
