Bunni DEX столкнулась с убытками в размере $2.4 млн после атаки на ребалансировку ликвидности

• Эксплойт Bunni DEX привёл к потере $2,4 млн, нацелившись на логику ликвидности через Uniswap v4 hooks.
• Злоумышленники использовали сделки определённых размеров, чтобы нарушить расчёты и вывести стейблкоины.
• В августе объём криптовалютных взломов вырос до $163 млн, что свидетельствует об изменении угроз на цифровых рынках.

Децентрализованная биржа Bunni потеряла около $2,4 млн после того, как злоумышленники воспользовались уязвимостями в её смарт-контрактах на Ethereum. Данные из блокчейна, предоставленные несколькими Web3 компаниями по безопасности, подтвердили потерю стейблкоинов USDC и USDT. В ходе атаки была манипулирована логика распределения ликвидности Bunni, и средства были выведены на адрес, на котором находилось $1,33 млн в USDC и $1,04 млн в USDT. Злоумышленники использовали слабые места в функции распределения ликвидности (Liquidity Distribution Function, LDF), которая предназначена для оптимизации ликвидности в различных ценовых диапазонах.

Основной участник проекта Bunni @Psaul26ix призвал пользователей вывести средства. “Если у вас есть деньги на Bunni, немедленно уберите их,” — написал он. Это предупреждение появилось после опасений, что злоумышленники могут продолжить выводить активы, если ликвидность останется в уязвимых пулах.

Позже команда Bunni подтвердила факт взлома в заявлении на X. “Приложение Bunni подверглось атаке с использованием уязвимости,” — сообщили они. Также было добавлено, что все функции смарт-контрактов во всех сетях были приостановлены в качестве меры предосторожности.

Hooks и расширяющаяся поверхность атак

Bunni работает на системе hooks Uniswap v4. CEO Uniswap Labs Hayden Adams описал hooks как “плагины для настройки взаимодействия пулов, обменов, комиссий и позиций LP”. Эта функция позволяет протоколам добавлять уникальные возможности поверх архитектуры Uniswap.

Хотя Uniswap v4 включает продвинутые функции, такие как flash accounting, архитектуру singleton и нативную поддержку ETH, hooks создают новые точки для атак. Эксплойт Bunni показал, что кастомизация, несмотря на свою мощь, может повысить риски, если механизмы недостаточно протестированы.

Сооснователь KyberNetwork Victor Tran подробно описал, как работал эксплойт. “Злоумышленник понял, что может манипулировать этой LDF, совершая сделки строго определённых размеров,” — написал он в X. Tran объяснил, что такие сделки нарушали расчёт ребалансировки, приводя к неправильным результатам для долей поставщиков ликвидности.

Атакующий повторял эксплойт несколько раз, не вызывая немедленных тревог, постепенно выводя миллионы. Это показало, что уязвимости в кастомной логике позволяют проводить скрытые атаки, обходя стандартные системы обнаружения.

Более широкие вопросы безопасности в DeFi

Ликвидность Bunni функционирует через Euler Finance, который является соглашением по кредитованию и заимствованию, а также конструирует финансовые продукты. После атаки основатель Euler Michael Bentley пояснил, что Bunni периодически направляет ликвидность в/из Euler, но сам Euler не пострадал. Его объяснение было дано в ответ на опасения по поводу возможного масштабного распространения проблемы.   

Одним из главных преимуществ новых релизов DeFi является добавление продвинутых функций, таких как автоматическая ребалансировка, гибкие структуры комиссий и мгновенная доступность капитала. Однако эти инновации часто вносят новые уязвимости, поскольку редко проходят стресс-тестирование в реальных условиях атак. 

Связано: Криптовалютные взломы достигли $163 млн в августе, рост атак составил 15%

Для снижения подобных рисков эксперты по безопасности подчеркивают важность превентивных мер. Рекомендуемые практики включают формальные аудиты, моделирование атак, отложенные по времени развертывания и хорошо финансируемые программы bug bounty. По мнению экспертов, эти меры особенно важны для hooks и других функций, изменяющих учёт активов.

Инцидент с Bunni также вписывается в более широкую тенденцию. По данным PeckShield, в августе хакеры похитили более $163 млн в ходе 16 инцидентов, что на 15% больше по сравнению с $142 млн в июле. Хотя объём краж остаётся на 47% ниже в годовом выражении, злоумышленники, похоже, меняют свои стратегии.