Bei der BunniXYZ Ethereum Börse kam es zu einer Reihe unautorisierter Abflüsse. On-Chain-Ermittler identifizierten das Ereignis als Hack, mit Verlusten von etwa 2,3 Millionen Dollar.
BunniXYZ, eine dezentrale Ethereum-Börse, wurde über einen ihrer Smart Contracts ausgenutzt. Der Hacker bewegte hauptsächlich Stablecoins, mit einem Gesamtverlust von 2,3 Millionen Dollar.
Basierend auf der Transaktionshistorie griff der Hacker die USDT- und USDC-Tresore an und bewegte die Token dann durch das Ethereum-Ökosystem, sodass er am Ende eine Mischung aus ETH und Stablecoins hielt. Innerhalb der ersten Minuten erkannte das BunniXYZ Projekt den Angriff auf seine App und schloss alle Smart Contracts.
Kurz nach dem Hack setzte der Angreifer fort, die Gelder über andere DeFi-Protokolle in ETH zu tauschen.
In der Stunde nach dem Angriff bewegte oder mischte der Hacker die Gelder noch nicht weiter, abgesehen von den anfänglichen Bewegungen über DeFi-Protokolle. Der Angriff auf BunniXYZ ist Teil einer aktuellen Serie von relativ kleineren Hacks, bei denen weniger als 10 Millionen Dollar gestohlen wurden.
Selbst relativ kleine Angriffe kosten den Protokollen oft ihren Ruf und zerstören neue DeFi-Hubs. Einer der jüngsten Smart-Contract-Exploits richtete sich gegen BetterBank, wie Cryptopolitan berichtete . Solche Angriffe wecken den Verdacht auf Insider-Jobs oder bösartigen Code, der von DPRK-Hackern in Web3 eingeschleust wurde.
BunniXYZ wurde auf dem Höhepunkt angegriffen
BunniXYZ ist eine DEX, die sowohl Ethereum als auch Unichain nutzt. Der neue Markt verwendet außerdem die Uniswap V4-Technologie, um spezielle Tresore und Märkte mit komplexeren Handelsregeln zu schaffen.
Wie bei anderen Märkten wurde BunniXYZ kurz nach Erreichen eines lokalen Höchststands des gesperrten Wertes angegriffen. Ende August verwaltete die Börse bis zu 60 Millionen Dollar in ihren Tresoren. Der Markt war nach dem Start im Februar und der Etablierung unter den neuen DeFi-Protokollen noch relativ klein.
August war auch einer der erfolgreichsten Monate für die DEX, mit einem Volumen von über 1 Milliarde Dollar. Die Börse baute gezielt Liquidität für Rehypothecation auf und vermied dabei Liquidationen während Marktrückgängen. Die DEX-Liquidität war zudem mit dem Euler Protocol für passives Einkommen verbunden.
BunniXYZ profitierte von den gestiegenen Volumina von Uniswap V4, da das Protokoll über 393 Millionen Dollar in seine Tresore auf Ethereum und 298 Millionen Dollar auf Unichain zog.
Hacker nutzte BunniXYZ-Liquiditätsberechnung aus
Die Analyse nach dem Hack zeigte, dass BunniXYZ aufgrund seines speziellen Vertrags zur Neuberechnung der Liquidität verwundbar war. Die DEX ist ein Liquiditätshook, der die Uniswap V4-Technologie nutzt. Allerdings berechnet BunniXYZ anstelle der Uniswap-Liquiditätsberechnung die Liquidity Distribution Function neu.
Der Angreifer entdeckte , dass die Liquidity Distribution Function durch Trades bestimmter Größen aus dem Gleichgewicht gebracht werden konnte. Das bedeutete, dass der Smart Contract mehr Token aus dem Liquiditätspool auszahlte, als tatsächlich vorhanden waren, wodurch die Börse geleert wurde. Der Angreifer musste mehrere Transaktionen wiederholen, um schließlich 2,3 Millionen Dollar anzusammeln und sie dann gegen ETH zu tauschen. Anschließend hinterlegte er das ETH bei Aave und hielt 1,33 Millionen Dollar in AethUSDC und 1 Million Dollar in AethUSDT laut dem Endstand der Wallet.
BunniXYZ hat bereits frühere Audits durchlaufen, aber der LDF-Bug könnte mit einer späteren Version der Börse eingeführt worden sein. Die wahrscheinlichste Ursache ist ein Präzisionsfehler, der den Hacker zwang, mehrere Transaktionen durchzuführen, um basierend auf der fehlerhaften Neuberechnung ein größeres Guthaben anzusammeln.
Wenn Sie dies lesen, sind Sie bereits einen Schritt voraus. Bleiben Sie mit unserem Newsletter auf dem Laufenden.
