На біржі BunniXYZ Ethereum відбулася серія несанкціонованих виведень коштів. Дослідники блокчейну ідентифікували цю подію як злам, із втратами близько $2.3M.
BunniXYZ, децентралізована біржа на Ethereum, була скомпрометована через один зі своїх смарт-контрактів. Хакер переважно перемістив стейблкоїни, загальна сума втрат склала $2.3M.
Виходячи з історії транзакцій , хакер атакував сховища USDT та USDC, після чого перемістив токени через екосистему Ethereum, у підсумку отримавши мікс ETH та стейблкоїнів. У перші хвилини проєкт BunniXYZ визнав атаку на свій застосунок, закривши всі смарт-контракти.
Незабаром після зламу зловмисник продовжив обмінювати кошти на ETH через інші DeFi-протоколи.
Протягом години після атаки хакер ще не перемістив і не змішав кошти, окрім початкових транзакцій через DeFi-протоколи. Атака на BunniXYZ є частиною останньої серії відносно невеликих зламів, із сумою викрадених коштів менше $10M.
Навіть відносно невеликі атаки часто коштують протоколам репутації та руйнують нові DeFi-хаби. Одним із нещодавніх зломів смарт-контракту була атака на BetterBank, як повідомляв Cryptopolitan reported . Такі атаки викликають підозри щодо інсайдерських дій або шкідливого коду, впровадженого в Web3 хакерами з DPRK.
BunniXYZ атаковано на піку
BunniXYZ — це DEX, що використовує як Ethereum, так і Unichain. Новий ринок також застосовує технологію Uniswap V4 для створення спеціальних сховищ і ринків із більш складними торговими правилами.
Як і на інших ринках, BunniXYZ було атаковано невдовзі після досягнення локального піку заблокованої вартості. Наприкінці серпня біржа мала до $60M у своїх сховищах. Ринок залишався відносно невеликим після запуску в лютому, знаходячи своє місце серед нових DeFi-протоколів.
Серпень також став одним із найуспішніших місяців для DEX, із обсягами понад $1B. Біржа спеціально нарощувала ліквідність для rehypothecation , уникаючи ліквідацій під час спаду ринку. Ліквідність DEX також була пов’язана з Euler Protocol для пасивного доходу.
BunniXYZ скористався зростанням обсягів Uniswap V4, оскільки протокол залучив понад $393M у свої сховища на Ethereum і $298M на Unichain.
Хакер скористався вразливістю в розрахунку ліквідності BunniXYZ
Післяаналіз зламу показав, що BunniXYZ був вразливий через специфічний контракт для перерахунку ліквідності. DEX є ліквідністю-хуком, що використовує технологію Uniswap V4. Однак замість використання розрахунку ліквідності Uniswap, BunniXYZ перераховує функцію розподілу ліквідності.
Зловмисник виявив , що функція розподілу ліквідності може бути порушена при торгівлі певними обсягами. Це означало, що смарт-контракт виплачував більше токенів із пулу ліквідності, ніж було насправді, у результаті чого біржа була спустошена. Атакуючий мав повторити кілька транзакцій, щоб у підсумку отримати $2.3M, після чого обміняв їх на ETH. Потім він вніс ETH у Aave, утримуючи $1.33M у AethUSDC та $1M у AethUSDT згідно з фінальним балансом гаманця .
BunniXYZ проходив попередні аудити, але баг LDF міг з’явитися у пізнішій версії біржі. Найімовірнішою причиною є баг точності, який змусив хакера виконати кілька транзакцій для накопичення більшого балансу на основі помилкового перерахунку.
Якщо ви це читаєте, ви вже попереду. Залишайтеся там із нашою розсилкою.
