Bunni DEX、流動性リバランス攻撃で240万ドルの損失
- Bunni DEXのエクスプロイトにより、Uniswap v4のフックを通じて流動性ロジックが標的となり、240万ドルが流出しました。
- 攻撃者は特定のサイズの取引を利用して計算を破壊し、ステーブルコインを流出させました。
- 暗号資産のハッキング被害は8月に1億6300万ドルに増加し、デジタル市場における脅威の変化を示しています。
分散型取引所Bunniは、Ethereumベースのスマートコントラクトの脆弱性を攻撃者に突かれ、約240万ドルを失いました。複数のWeb3セキュリティ企業によるオンチェーンデータで、USDCおよびUSDTのステーブルコインの損失が確認されています。攻撃者はBunniの流動性分配ロジックを操作し、資金をUSDCで133万ドル、USDTで104万ドルを保有するアドレスに流出させました。彼らは、価格帯全体で流動性を最適化するために設計されたLiquidity Distribution Function(LDF)の脆弱性を悪用しました。
Bunniのコアコントリビューターである@Psaul26ixは、ユーザーに資金の引き出しを促しました。「Bunniに資金がある場合は、できるだけ早く引き出してください」と投稿しています。この警告は、流動性が脆弱なプールに残っている場合、攻撃者が資産を引き続き流出させる可能性があるとの懸念を受けて発せられました。
その後、BunniはXで声明を発表し、侵害を確認しました。「Bunniアプリはセキュリティエクスプロイトの影響を受けています」とチームは発表しました。また、予防措置として、ネットワーク全体のすべてのスマートコントラクト機能が一時停止されたことも付け加えました。
フックと拡大する攻撃対象領域
BunniはUniswap v4のフックシステム上で動作しています。Uniswap LabsのCEOであるHayden Adamsは、フックを「プール、スワップ、手数料、LPポジションの相互作用をカスタマイズするためのプラグイン」と説明しています。この機能により、プロトコルはUniswapのフレームワーク上に独自の機能を追加できます。
Uniswap v4はフラッシュアカウンティング、シングルトンアーキテクチャ、ネイティブETHサポートなどの高度な機能を備えていますが、フックは新たな攻撃ポイントを生み出します。Bunniのエクスプロイトは、カスタマイズが強力である一方で、メカニズムが十分にテストされていない場合、リスクが増大することを示しました。
KyberNetworkの共同創設者であるVictor Tranは、エクスプロイトの仕組みを詳述しました。「エクスプロイターは、非常に特定のサイズの取引を行うことでこのLDFを操作できることに気付きました」と彼はXで述べています。Tranは、これらの取引がリバランス計算を破壊し、流動性提供者のシェアに対して誤った結果を生み出したと説明しました。
攻撃者はこのエクスプロイトを複数回繰り返し、即時の警報を引き起こすことなく、徐々に数百万ドルを流出させました。これは、カスタムロジックの脆弱性が標準的な検出システムを回避するステルス攻撃を可能にすることを示しています。
DeFiにおける広範なセキュリティ懸念
Bunniの流動性はEuler Financeを通じて機能しており、これは貸付・借入契約であり、金融商品も構築しています。攻撃後、Eulerの創設者であるMichael Bentleyは、Bunniが流動性をEulerに出し入れすることがあるが、Euler自体には影響がなかったと説明しました。彼の説明は、より大きな連鎖的崩壊への懸念に対応するものでした。
新しいDeFiリリースの最大のセールスポイントの一つは、自動リバランス、柔軟な手数料構造、即時の資本利用可能性などの高度な機能の追加です。しかし、これらのイノベーションは、現実世界の攻撃シナリオでストレステストされることがほとんどないため、新たな脆弱性をもたらすことが多いです。
関連:暗号資産のハッキング被害、8月に1億6300万ドルに急増、攻撃が15%増加
このようなリスクに対処するため、セキュリティ専門家は予防措置の重要性を強調しています。推奨される実践には、正式な監査、敵対的シミュレーション、時間遅延デプロイメント、十分な資金を持つバグバウンティプログラムなどが含まれます。これらの対策は、資産会計を変更するフックやその他の機能にとって不可欠であると専門家は指摘しています。
Bunniの事件は、より大きなトレンドにも当てはまります。PeckShieldによると、ハッカーは8月に16件の事件で1億6300万ドル以上を盗み、7月の1億4200万ドルから15%増加しました。年間ベースでは被害は47%減少していますが、攻撃者は戦略を変えているようです。
免責事項:本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。
こちらもいかがですか?
Ripple、スペインのBBVAとの暗号資産カストディ提携を拡大
RippleとBBVAは提携を拡大し、スペインでデジタル資産のカストディサービスを提供します。このサービスは、ヨーロッパのMiCA規制へのコンプライアンスをサポートしています。BBVAは、安全な暗号資産ソリューションに対する顧客の需要の高まりに対応しています。
イスラエルがカタールを攻撃した後、BitcoinとEthereumの価格が重大なリスクに直面
イスラエルがカタールを攻撃した後、BitcoinとEthereumは下落しました。金は過去最高値を記録し、原油価格が急騰、暗号資産のロングポジションでは1時間で5,200万ドルが清算されました。
米国雇用統計の修正が経済不安を招く一方、暗号資産には楽観的な見方
米国の雇用統計により3回の利下げの可能性が高まったが、金価格が急騰する一方で、景気後退懸念がETFへの資金流入に影響し、暗号資産市場は不透明感に直面している。
初の米国Dogecoin ETFが木曜日に上場する可能性、しかし市場は慎重姿勢
ETFアナリストは、今週中にDogecoin ETFがローンチされる可能性があると主張しましたが、SECからの正式な確認がないため、市場は当初の盛り上がりにもかかわらず慎重な姿勢を保っています。
暗号資産価格
もっと見る
