Bunni DEX subisce una perdita di 2,4 milioni di dollari dopo un attacco di ribilanciamento della liquidità

• L’exploit su Bunni DEX ha sottratto 2,4 milioni di dollari prendendo di mira la logica di liquidità tramite gli hook di Uniswap v4.
• Gli attaccanti hanno utilizzato trade di dimensioni precise per compromettere i calcoli e drenare stablecoin.
• Gli hack nel settore crypto sono saliti a 163 milioni di dollari in agosto, mostrando minacce in evoluzione nei mercati digitali.

La piattaforma di exchange decentralizzato Bunni ha perso circa 2,4 milioni di dollari dopo che degli attaccanti hanno sfruttato vulnerabilità nei suoi smart contract basati su Ethereum. Dati onchain provenienti da diverse società di sicurezza Web3 hanno confermato la perdita di stablecoin USDC e USDT. L’attacco ha manipolato la logica di distribuzione della liquidità di Bunni, drenando fondi verso un indirizzo che deteneva 1,33 milioni di dollari in USDC e 1,04 milioni di dollari in USDT. Gli attaccanti hanno sfruttato debolezze nella Liquidity Distribution Function (LDF), una funzione progettata per ottimizzare la liquidità tra diverse fasce di prezzo.

Il core contributor di Bunni @Psaul26ix ha esortato gli utenti a ritirare i fondi. “Se avete denaro su Bunni, rimuovetelo il prima possibile”, ha scritto. Questo avvertimento è arrivato dopo la preoccupazione che gli attaccanti potessero continuare a drenare asset se la liquidità fosse rimasta nei pool vulnerabili.

Poco dopo, Bunni ha confermato la violazione con una dichiarazione su X. “L’app Bunni è stata colpita da un exploit di sicurezza”, ha annunciato il team. Hanno aggiunto che tutte le funzioni degli smart contract su tutte le reti sono state sospese come misura precauzionale.

Hook e la Superficie di Attacco in Espansione

Bunni opera sul sistema di hook di Uniswap v4. Il CEO di Uniswap Labs, Hayden Adams, ha descritto gli hook come “plugin per personalizzare il modo in cui pool, swap, commissioni e posizioni LP interagiscono”. Questa funzione consente ai protocolli di aggiungere funzionalità uniche sopra l’infrastruttura di Uniswap.

Sebbene Uniswap v4 includa funzionalità avanzate come flash accounting, architettura singleton e supporto nativo per ETH, gli hook creano nuovi punti di attacco. L’exploit su Bunni ha dimostrato come la personalizzazione, seppur potente, possa aumentare il rischio quando i meccanismi non sono testati a fondo.

Il co-fondatore di KyberNetwork, Victor Tran, ha spiegato nel dettaglio come ha funzionato l’exploit. “L’attaccante ha capito che poteva manipolare questa LDF effettuando trade di dimensioni molto specifiche”, ha scritto su X. Tran ha spiegato che queste operazioni hanno compromesso il calcolo del ribilanciamento, producendo risultati errati per le quote dei liquidity provider.

L’attaccante ha ripetuto l’exploit più volte senza attivare allarmi immediati, drenando gradualmente milioni. Questo ha mostrato come vulnerabilità nella logica personalizzata possano consentire attacchi furtivi che aggirano i sistemi di rilevamento standard.

Preoccupazioni di Sicurezza Più Ampie nella DeFi

Le funzioni di liquidità di Bunni passano attraverso Euler Finance, che è un accordo di prestito e lending che costruisce anche prodotti finanziari. Dopo l’attacco, il fondatore di Euler, Michael Bentley, ha spiegato che Bunni indirizza la liquidità dentro/fuori da Euler in determinati momenti, ma che Euler stessa non è stata colpita. La sua spiegazione è servita a rispondere alle preoccupazioni di un possibile effetto domino più ampio.   

Uno dei principali punti di forza delle nuove release DeFi è l’aggiunta di funzionalità avanzate come il ribilanciamento automatico, strutture di commissioni flessibili e disponibilità istantanea di capitale. Tuttavia, queste innovazioni spesso introducono nuove vulnerabilità, poiché raramente vengono testate sotto stress in scenari di attacco reali. 

Correlato: Gli hack crypto hanno raggiunto i 163 milioni di dollari in agosto con un aumento del 15%

Per affrontare tali rischi, gli esperti di sicurezza sottolineano l’importanza di misure preventive. Le pratiche raccomandate includono audit formali, simulazioni avversariali, implementazioni con ritardo temporale e programmi di bug bounty ben finanziati. Queste misure, notano gli esperti, sono fondamentali per gli hook e altre funzionalità che modificano la contabilità degli asset.

L’incidente di Bunni si inserisce anche in una tendenza più ampia. Secondo PeckShield, gli hacker hanno rubato oltre 163 milioni di dollari in 16 incidenti ad agosto, segnando un aumento del 15% rispetto ai 142 milioni di luglio. Sebbene i furti rimangano inferiori del 47% su base annua, sembra che gli attaccanti stiano cambiando strategia.