Децентрализованная биржа Bunni стала жертвой эксплойта, потеряв около $2.4 миллиона в стейбкойнах после того, как злоумышленники манипулировали расчетами ликвидности платформы, согласно данным от нескольких Web3-компаний по безопасности.
«Приложение Bunni пострадало от взлома», — подтвердили представители команды на X во вторник. «В качестве меры предосторожности мы приостановили все функции смарт-контрактов во всех сетях. Наша команда активно расследует произошедшее и вскоре предоставит обновления», — добавили они.
Атака была направлена на смарт-контракты Bunni, работающие на базе Ethereum. Средства были выведены на адрес, на котором хранится $1.33 миллиона в USDC и $1.04 миллиона в USDT.
Основной участник разработки Bunni @Psaul26ix попросил пользователей как можно скорее вывести средства с платформы. «Если у вас есть деньги на Bunni, немедленно выведите их», — написал он на X.
Bunni направляет ликвидность через Euler Finance, децентрализованную платформу кредитования, которая позволяет пользователям брать и давать в долг, а также создавать структурированные криптопродукты. В связи с эксплойтом сооснователь и генеральный директор Euler Finance Майкл Бентли уточнил, что сам протокол не затронут взломом.
Cointelegraph обратился за комментариями к Bunni и Euler, но не получил ответа к моменту публикации.
Как Bunni стал жертвой взлома
Хотя технический анализ взлома еще не завершен, предварительный анализ от разработчиков и исследователей указывает на ошибку в том, как Bunni обрабатывает ребалансировку ликвидности.
Bunni, построенный на базе Uniswap v4, использует пользовательский механизм под названием Liquidity Distribution Function (LDF) вместо стандартной логики Uniswap. Этот механизм позволяет Bunni оптимизировать распределение ликвидности по ценовым диапазонам, стремясь увеличить доходность для поставщиков ликвидности.
По словам Виктора Тран, сооснователя KyberNetwork, злоумышленнику удалось манипулировать кривой LDF, выполняя сделки определенных размеров, которые привели к сбою в логике ребалансировки.
«Злоумышленник понял, что может манипулировать этим LDF, совершая сделки очень определенных размеров», — написал Тран на X. «Эти тщательно подобранные суммы привели к сбою в расчете ребалансировки, давая неверные результаты относительно того, какой доле LP должен владеть», — добавил он.
Злоумышленник, по-видимому, совершил эксплойт несколько раз, постепенно выводя средства из протокола, не сразу вызывая тревогу.
В качестве ответа на эксплойт команда протокола Bunni предложила злоумышленнику вознаграждение в размере 10% в обмен на возврат оставшихся украденных средств. В ончейн-сообщении, отправленном через Ethereum, команда предложила вознаграждение как способ решения проблемы. Сообщение содержит контактный адрес и адрес электронной почты, приглашая злоумышленника к обсуждению условий.
Крипто-взломы превысили $163 миллиона в августе
В августе крипто-хакеры и мошенники украли более $163 миллионов в 16 отдельных инцидентах, что на 15% больше, чем в июле ($142 миллиона). Хотя эта цифра все еще на 47% ниже, чем годом ранее, она отражает тревожный рост целевых атак по мере роста крипторынков.
PeckShield и другие эксперты по кибербезопасности отметили стратегический сдвиг в поведении хакеров, которые теперь сосредоточены на централизованных биржах и лицах с высоким уровнем дохода, а не на небольших децентрализованных целях.
Самые большие потери в августе были связаны с атакой социальной инженерии, когда владелец Bitcoin был обманут и отправил 783 BTC (на сумму $91 миллион) злоумышленникам, выдававшим себя за специалистов поддержки от криптобиржи и поставщика аппаратных кошельков.
