Bunni DEX Mengalami Kerugian $2,4 Juta Setelah Serangan Rebalancing Likuiditas

• Eksploitasi Bunni DEX menguras $2,4 juta dengan menargetkan logika likuiditas melalui Uniswap v4 hooks.
• Penyerang menggunakan perdagangan dengan ukuran tertentu untuk merusak perhitungan dan menguras stablecoin.
• Peretasan kripto naik menjadi $163 juta pada bulan Agustus, menunjukkan ancaman yang berubah di pasar digital.

Decentralized exchange Bunni kehilangan sekitar $2,4 juta setelah penyerang mengeksploitasi kerentanan pada smart contract berbasis Ethereum miliknya. Data onchain dari beberapa perusahaan keamanan Web3 mengonfirmasi hilangnya stablecoin USDC dan USDT. Serangan tersebut memanipulasi logika distribusi likuiditas Bunni, menguras dana ke alamat yang menampung $1,33 juta dalam USDC dan $1,04 juta dalam USDT. Mereka mengeksploitasi kelemahan pada Liquidity Distribution Function (LDF), sebuah fitur yang dirancang untuk mengoptimalkan likuiditas di berbagai rentang harga.

Kontributor inti Bunni @Psaul26ix mendesak pengguna untuk menarik dana mereka. “Jika Anda memiliki uang di Bunni, segera tarik,” tulisnya. Peringatan ini muncul setelah kekhawatiran bahwa penyerang dapat terus menguras aset jika likuiditas tetap berada di pool yang rentan.

Kemudian, Bunni mengonfirmasi pelanggaran tersebut dalam sebuah pernyataan di X. “Aplikasi Bunni telah terkena eksploitasi keamanan,” umum tim tersebut. Mereka menambahkan bahwa semua fungsi smart contract di seluruh jaringan telah dihentikan sementara sebagai tindakan pencegahan.

Hooks dan Permukaan Serangan yang Meluas

Bunni beroperasi pada sistem hooks Uniswap v4. CEO Uniswap Labs Hayden Adams menggambarkan hooks sebagai “plugin untuk menyesuaikan bagaimana pool, swap, biaya, dan posisi LP berinteraksi.” Fitur ini memungkinkan protokol untuk menambahkan fungsionalitas unik di atas kerangka kerja Uniswap.

Meskipun Uniswap v4 mencakup fitur canggih seperti flash accounting, arsitektur singleton, dan dukungan ETH native, hooks menciptakan titik serangan baru. Eksploitasi Bunni menunjukkan bagaimana kustomisasi, meskipun kuat, dapat meningkatkan risiko ketika mekanisme tidak diuji secara menyeluruh.

Co-founder KyberNetwork Victor Tran merinci cara kerja eksploitasi tersebut. “Eksploiter menyadari mereka dapat memanipulasi LDF ini dengan melakukan perdagangan dengan ukuran yang sangat spesifik,” tulisnya di X. Tran menjelaskan bahwa perdagangan ini merusak perhitungan rebalancing, menghasilkan hasil yang salah untuk porsi penyedia likuiditas.

Penyerang mengulangi eksploitasi ini beberapa kali tanpa memicu alarm langsung, secara bertahap menguras jutaan dana. Hal ini menunjukkan bagaimana kerentanan dalam logika kustom dapat memungkinkan serangan diam-diam yang melewati sistem deteksi standar.

Kekhawatiran Keamanan yang Lebih Luas di DeFi

Fungsi likuiditas Bunni berjalan melalui Euler Finance, yang merupakan perjanjian pinjam-meminjam yang juga membangun produk keuangan. Setelah serangan, pendiri Euler Michael Bentley menjelaskan bahwa Bunni terkadang mengalirkan likuiditas masuk/keluar dari Euler, tetapi Euler sendiri tidak terpengaruh. Penjelasannya ini bertujuan untuk meredakan kekhawatiran akan potensi penularan yang lebih luas.   

Salah satu nilai jual terbesar dari rilis DeFi terbaru adalah penambahan fitur canggih seperti rebalancing otomatis, struktur biaya fleksibel, dan ketersediaan modal instan. Namun, inovasi-inovasi ini sering kali memperkenalkan kerentanan baru, karena jarang diuji ketahanannya terhadap skenario serangan dunia nyata. 

Terkait: Peretasan Kripto Mencapai $163 Juta pada Agustus saat Serangan Naik 15%

Untuk mengatasi risiko tersebut, para ahli keamanan menekankan pentingnya tindakan pencegahan. Praktik yang direkomendasikan meliputi audit formal, simulasi adversarial, penerapan dengan jeda waktu, dan program bug bounty dengan dana yang memadai. Langkah-langkah ini, menurut para ahli, sangat penting untuk hooks dan fitur lain yang mengubah perhitungan aset.

Insiden Bunni juga merupakan bagian dari tren yang lebih besar. Menurut PeckShield, peretas mencuri lebih dari $163 juta dalam 16 insiden pada bulan Agustus, meningkat 15% dari $142 juta pada Juli. Meskipun pencurian tetap 47% lebih rendah secara tahunan, para penyerang tampaknya mengubah strategi mereka.