Bunni DEX ponosi stratę 2,4 mln USD po ataku na rebalansowanie płynności

• Eksploatacja Bunni DEX doprowadziła do utraty 2,4 mln USD poprzez atak na logikę płynności za pomocą hooków Uniswap v4.
• Atakujący użyli transakcji o precyzyjnych rozmiarach, aby złamać obliczenia i wyprowadzić stablecoiny.
• Ataki kryptowalutowe wzrosły do 163 mln USD w sierpniu, co pokazuje zmieniające się zagrożenia na rynkach cyfrowych.

Zdecentralizowana giełda Bunni straciła około 2,4 mln USD po tym, jak atakujący wykorzystali luki w jej smart kontraktach opartych na Ethereum. Dane onchain z wielu firm zajmujących się bezpieczeństwem Web3 potwierdziły utratę stablecoinów USDC i USDT. Atak zmanipulował logikę dystrybucji płynności Bunni, wyprowadzając środki na adres posiadający 1,33 mln USD w USDC i 1,04 mln USD w USDT. Wykorzystano słabości w funkcji Liquidity Distribution Function (LDF), która została zaprojektowana do optymalizacji płynności w różnych zakresach cenowych.

Główny współtwórca Bunni, @Psaul26ix, wezwał użytkowników do wycofania środków. „Jeśli masz pieniądze na Bunni, usuń je jak najszybciej” – napisał. Ostrzeżenie to pojawiło się po obawach, że atakujący mogą nadal wyprowadzać aktywa, jeśli płynność pozostanie w podatnych pulach.

Później Bunni potwierdziło naruszenie w oświadczeniu na X. „Aplikacja Bunni została dotknięta przez exploit bezpieczeństwa” – ogłosił zespół. Dodali, że wszystkie funkcje smart kontraktów we wszystkich sieciach zostały wstrzymane jako środek ostrożności.

Hooki i rosnąca powierzchnia ataku

Bunni działa w oparciu o system hooków Uniswap v4. CEO Uniswap Labs, Hayden Adams, opisał hooki jako „wtyczki umożliwiające dostosowanie interakcji pul, swapów, opłat i pozycji LP”. Funkcja ta pozwala protokołom na dodanie unikalnych funkcjonalności na bazie frameworka Uniswap.

Chociaż Uniswap v4 zawiera zaawansowane funkcje, takie jak flash accounting, architektura singleton oraz natywne wsparcie dla ETH, hooki tworzą nowe punkty ataku. Exploit Bunni pokazał, że personalizacja, choć potężna, może zwiększać ryzyko, gdy mechanizmy nie są dokładnie testowane.

Współzałożyciel KyberNetwork, Victor Tran, szczegółowo opisał sposób działania exploita. „Atakujący odkrył, że może manipulować tym LDF, wykonując transakcje o bardzo specyficznych rozmiarach” – napisał na X. Tran wyjaśnił, że te transakcje łamały obliczenia rebalansujące, generując nieprawidłowe wyniki dla udziałów dostawców płynności.

Atakujący powtarzał exploit wielokrotnie, nie wywołując natychmiastowych alarmów, stopniowo wyprowadzając miliony. Pokazuje to, jak luki w niestandardowej logice mogą umożliwić ciche ataki, które omijają standardowe systemy wykrywania.

Szeroko pojęte obawy dotyczące bezpieczeństwa w DeFi

Funkcje płynności Bunni działają poprzez Euler Finance, który jest umową pożyczkową i kredytową, a także konstruuje produkty finansowe. Po ataku założyciel Euler, Michael Bentley, wyjaśnił, że Bunni czasami kieruje płynność do/od Euler, ale sam Euler nie został dotknięty. Jego wyjaśnienie miało na celu rozwianie obaw o większy efekt domina.   

Jednym z największych atutów nowych rozwiązań DeFi jest dodanie zaawansowanych funkcji, takich jak automatyczne rebalansowanie, elastyczne struktury opłat i natychmiastowa dostępność kapitału. Jednak te innowacje często wprowadzają nowe podatności, ponieważ rzadko są testowane pod kątem rzeczywistych scenariuszy ataku. 

Powiązane: Ataki kryptowalutowe osiągnęły 163 mln USD w sierpniu, co oznacza wzrost o 15%

Aby przeciwdziałać takim ryzykom, eksperci ds. bezpieczeństwa podkreślają znaczenie środków zapobiegawczych. Zalecane praktyki obejmują formalne audyty, symulacje adwersarialne, wdrożenia z opóźnieniem czasowym oraz dobrze finansowane programy bug bounty. Środki te, jak zauważają eksperci, są kluczowe dla hooków i innych funkcji, które zmieniają rozliczanie aktywów.

Incydent Bunni wpisuje się również w szerszy trend. Według PeckShield, hakerzy ukradli ponad 163 mln USD w 16 incydentach w sierpniu, co stanowi wzrost o 15% w porównaniu do 142 mln USD w lipcu. Chociaż kradzieże są nadal o 47% niższe rok do roku, wydaje się, że atakujący zmieniają strategie.