Nakaranas ang BunniXYZ Ethereum exchange ng sunod-sunod na hindi awtorisadong paglabas ng pondo. Natukoy ng mga on-chain investigator na ito ay isang pag-hack, na nagdulot ng pagkalugi na humigit-kumulang $2.3M.
Ang BunniXYZ, isang Ethereum decentralized exchange, ay na-exploit sa pamamagitan ng isa sa mga smart contract nito. Inilipat ng hacker ang karamihan sa mga stablecoin, na nagresulta sa kabuuang pagkalugi na $2.3M.
Batay sa transaction history , inatake ng hacker ang USDT at USDC vaults, pagkatapos ay inilipat ang mga token sa loob ng Ethereum ecosystem, na nauwi sa halo ng ETH at mga stablecoin. Sa loob ng unang mga minuto, agad na kinilala ng BunniXYZ project ang pag-atake laban sa kanilang app at isinara ang lahat ng smart contracts.
Pagkatapos ng pag-hack, nagpatuloy ang exploiter sa swap ng pondo papuntang ETH sa pamamagitan ng iba pang DeFi protocols.
Sa loob ng isang oras matapos ang pag-atake, hindi pa inilipat o hinalo ng hacker ang mga pondo, maliban sa mga paunang galaw sa pamamagitan ng DeFi protocols. Ang pag-atake laban sa BunniXYZ ay bahagi ng pinakabagong serye ng mga relatibong maliit na pag-hack, na nagnakaw ng mas mababa sa $10M.
Kahit ang mga relatibong maliit na pag-atake ay madalas na nagdudulot ng pinsala sa reputasyon ng mga protocol at sumisira sa mga bagong DeFi hub. Isa sa mga pinakabagong smart contract exploits ay laban sa BetterBank, ayon sa ulat ng Cryptopolitan reported . Ang ganitong mga pag-atake ay nagpapataas ng hinala ng insider jobs, o malisyosong code na ininject sa Web3 ng mga DPRK hacker.
Inatake ang BunniXYZ sa rurok ng tagumpay
Ang BunniXYZ ay isang DEX na gumagamit ng parehong Ethereum at Unichain. Ang bagong merkado ay gumagamit din ng Uniswap V4 technology upang lumikha ng mga espesyal na vault at merkado na may mas complex trading rules.
Tulad ng ibang mga merkado, inatake ang BunniXYZ agad matapos maabot ang lokal na rurok ng halaga ng naka-lock na pondo. Sa pagtatapos ng Agosto, umabot sa $60M ang laman ng mga vault ng exchange. Ang merkado ay nanatiling relatibong maliit, matapos maglunsad noong Pebrero at makahanap ng puwesto sa mga bagong DeFi protocol.
Ang Agosto rin ang isa sa pinakamatagumpay na buwan para sa DEX, na may higit sa $1B na volume. Partikular na binubuo ng exchange ang liquidity para sa rehypothecation , habang iniiwasan ang mga liquidation sa panahon ng pagbaba ng merkado. Ang DEX liquidity ay konektado rin sa Euler Protocol para sa passive income.
Sumakay ang BunniXYZ sa pinalawak na volume ng Uniswap V4, dahil ang protocol ay nakalikom ng higit sa $393M sa mga vault nito sa Ethereum at $298M sa Unichain.
In-exploit ng hacker ang kalkulasyon ng liquidity ng BunniXYZ
Ipinakita ng post-hack analysis na naging vulnerable ang BunniXYZ dahil sa partikular nitong liquidity recalculation contract. Ang DEX ay isang liquidity hook na gumagamit ng Uniswap V4 technology. Gayunpaman, sa halip na gamitin ang kalkulasyon ng liquidity ng Uniswap, muling kinukwenta ng BunniXYZ ang Liquidity Distribution Function.
Nadiskubre ng exploiter na maaaring masira ang Liquidity Distribution Function mula sa mga trade na may partikular na laki. Nangangahulugan ito na magbabayad ang smart contract ng mas maraming token mula sa liquidity pool kaysa sa totoong pag-aari, na nauuwi sa pagkaubos ng exchange. Kinailangan ng attacker na ulitin ang maraming transaksyon upang makaipon ng $2.3M, pagkatapos ay i-swap ito papuntang ETH. Sa huli, dineposito niya ang ETH sa Aave, hawak ang $1.33M sa AethUSDC at $1M sa AethUSDT batay sa wallet’s final balance.
Dumaan na sa mga nakaraang audit ang BunniXYZ, ngunit maaaring dumating ang LDF bug sa mas bagong bersyon ng exchange. Ang pinaka-malamang na dahilan ay isang precision bug, na nag-udyok sa hacker na magsagawa ng maraming transaksyon upang makaipon ng mas malaking balanse batay sa maling pagkalkula.
Kung binabasa mo ito, ikaw ay nangunguna na. Manatili diyan gamit ang aming newsletter.
