Зупинка смарт-контрактів: виявлено сліпу зону безпеки DeFi

Протокол Bunni DEX тимчасово призупинив свої смарт-контракти після значного експлойту, який призвів до втрати приблизно 8.4 мільйонів доларів активів. Інцидент, про який повідомлялося в декількох блокчейн-мережах, став одним із найбільших експлойтів у сфері децентралізованих бірж (DEX) за останні місяці. Атака використала вразливості у функціоналі крос-чейн протоколу, що дозволило зловмиснику одночасно вивести кошти з декількох ланцюгів [1].

Початковий судово-технічний аналіз показує, що експлойт був націлений на механіку автоматизованого маркет-мейкера (AMM) протоколу, яка використовується для здійснення торгів без традиційної книги ордерів. Експлойт включав складну маніпуляцію пулами ліквідності, що дозволило атакуючому вивести активи з декількох взаємопов’язаних ланцюгів до того, як вразливість була виявлена [2]. Детальний технічний розбір експлойту ще очікується, але попередні звіти свідчать, що вразливість була пов’язана з обробкою крос-чейн переказів ліквідності та відсутністю достатніх механізмів валідації [3].

У відповідь на інцидент команда Bunni опублікувала екстрену заяву про зупинку всієї діяльності смарт-контрактів для запобігання подальшим втратам. Це рішення було прийнято після внутрішнього аудиту, який показав, що експлойт потенційно може бути повторений, якщо контракти залишаться активними. У публічному оголошенні в соціальних мережах команда підкреслила, що жодні кошти користувачів не були навмисно заморожені, а пауза є запобіжним заходом для забезпечення безпеки платформи [4]. Команда також розпочала внутрішнє розслідування і співпрацює з незалежними аудиторами безпеки для виявлення першопричини вразливості [5].

Фінансовий вплив експлойту широко висвітлюється, аналітичні компанії блокчейну відстежують переміщення викрадених активів через декілька ланцюгів. За повідомленнями, викрадені кошти були переведені на гаманці, пов’язані з біржами даркнету та протоколами, орієнтованими на конфіденційність, що ускладнює зусилля щодо їх повернення. Незважаючи на зусилля дослідників безпеки блокчейну відстежити транзакції, рівень анонімності, доданий за допомогою приватних монет і міксерів, обмежив можливість відстеження кінцевого місця призначення коштів [6].

Експерти галузі відзначають, що цей інцидент підкреслює постійні проблеми безпеки в екосистемі децентралізованих фінансів (DeFi). Хоча DeFi-протоколи продовжують залучати значні капіталовкладення, подібні інциденти підкреслюють ризики, пов’язані з швидким впровадженням нової фінансової інфраструктури без ретельної перевірки безпеки. Експлойт також викликав занепокоєння щодо ефективності поточних практик аудиту смарт-контрактів і необхідності більш надійних механізмів управління в децентралізованих протоколах [7].

Bunni поки що не оголосив терміни відновлення сервісів. Команда зазначила, що пауза смарт-контрактів залишатиметься в силі до впровадження і ретельного тестування повного патчу безпеки. Тим часом протокол закликає користувачів стежити за своїми гаманцями та повідомляти про будь-яку підозрілу активність. Інцидент є яскравим нагадуванням про вразливості, які залишаються в DeFi-просторі, і важливість постійного вдосконалення безпеки для захисту активів користувачів [8].

Джерело:

[1] title1 (url1)

[2] title2 (url2)

[3] title3 (url3)

[4] title4 (url4)

[5] title5 (url5)

[6] title6 (url6)

[7] title7 (url7)

[8] title8 (url8)