Bunni DEX erleidet einen Verlust von 2,4 Millionen Dollar nach einem Angriff auf die Liquiditäts-Neugewichtung

• Bunni DEX-Exploit entwendete 2,4 Millionen Dollar, indem er die Liquiditätslogik über Uniswap v4 Hooks angriff.
• Angreifer nutzten Trades mit präzisen Größen, um Berechnungen zu manipulieren und Stablecoins abzuziehen.
• Krypto-Hacks stiegen im August auf 163 Millionen Dollar, was auf sich verändernde Bedrohungen in digitalen Märkten hinweist.

Die dezentrale Börse Bunni verlor etwa 2,4 Millionen Dollar, nachdem Angreifer Schwachstellen in ihren auf Ethereum basierenden Smart Contracts ausnutzten. Onchain-Daten mehrerer Web3-Sicherheitsfirmen bestätigten den Verlust der Stablecoins USDC und USDT. Der Angriff manipulierte Bunnis Logik zur Liquiditätsverteilung und leitete Gelder an eine Adresse weiter, die 1,33 Millionen Dollar in USDC und 1,04 Millionen Dollar in USDT hielt. Sie nutzten Schwächen in der Liquidity Distribution Function (LDF) aus, einer Funktion, die entwickelt wurde, um Liquidität über verschiedene Preisspannen zu optimieren.

Bunni-Kernbeitragender @Psaul26ix forderte die Nutzer auf, ihre Gelder abzuheben. „Wenn Sie Geld auf Bunni haben, entfernen Sie es so schnell wie möglich“, postete er. Diese Warnung folgte auf Bedenken, dass Angreifer weiterhin Vermögenswerte abziehen könnten, falls Liquidität in verwundbaren Pools verbleibt.

Später bestätigte Bunni den Vorfall in einer Stellungnahme auf X. „Die Bunni-App wurde von einem Sicherheits-Exploit betroffen“, gab das Team bekannt. Sie fügten hinzu, dass alle Smart-Contract-Funktionen über Netzwerke hinweg vorsorglich pausiert wurden.

Hooks und die wachsende Angriffsfläche

Bunni arbeitet mit dem Hooks-System von Uniswap v4. Uniswap Labs CEO Hayden Adams beschrieb Hooks als „Plugins, um zu steuern, wie Pools, Swaps, Gebühren und LP-Positionen interagieren“. Diese Funktion ermöglicht es Protokollen, einzigartige Funktionalitäten auf dem Uniswap-Framework hinzuzufügen.

Obwohl Uniswap v4 fortschrittliche Funktionen wie Flash Accounting, Singleton-Architektur und native ETH-Unterstützung bietet, schaffen Hooks neue Angriffspunkte. Der Bunni-Exploit zeigte, wie Anpassungen zwar mächtig, aber auch riskant sein können, wenn Mechanismen nicht gründlich getestet werden.

KyberNetwork-Mitgründer Victor Tran erläuterte, wie der Exploit funktionierte. „Der Angreifer fand heraus, dass er diese LDF manipulieren konnte, indem er Trades mit sehr spezifischen Größen durchführte“, schrieb er auf X. Tran erklärte, dass diese Trades die Rebalancing-Berechnung störten und zu falschen Ergebnissen für die Anteile der Liquiditätsanbieter führten.

Der Angreifer wiederholte den Exploit mehrfach, ohne sofortige Alarme auszulösen, und zog so nach und nach Millionen ab. Dies zeigte, wie Schwachstellen in benutzerdefinierter Logik verdeckte Angriffe ermöglichen können, die Standard-Erkennungssysteme umgehen.

Breitere Sicherheitsbedenken im DeFi-Bereich

Bunnis Liquiditätsfunktionen laufen über Euler Finance, ein Kredit- und Leihprotokoll, das auch Finanzprodukte konstruiert. Nach dem Angriff erklärte Euler-Gründer Michael Bentley, dass Bunni die Liquidität zeitweise in und aus Euler leitet, Euler selbst jedoch nicht betroffen war. Seine Erklärung diente als Antwort auf Bedenken hinsichtlich einer größeren Ansteckungsgefahr.

Einer der größten Vorteile neuerer DeFi-Releases ist die Einführung fortschrittlicher Funktionen wie automatisches Rebalancing, flexible Gebührenstrukturen und sofortige Kapitalverfügbarkeit. Doch diese Innovationen bringen oft neue Schwachstellen mit sich, da sie selten unter realen Angriffsszenarien getestet werden.

Verwandt: Krypto-Hacks erreichten im August 163 Millionen Dollar, ein Anstieg der Angriffe um 15 %

Um solchen Risiken zu begegnen, betonen Sicherheitsexperten die Bedeutung präventiver Maßnahmen. Empfohlene Praktiken umfassen formale Audits, adversarielle Simulationen, zeitverzögerte Deployments und gut ausgestattete Bug-Bounty-Programme. Diese Maßnahmen, so Experten, sind besonders wichtig für Hooks und andere Funktionen, die die Vermögensbuchhaltung verändern.

Der Bunni-Vorfall passt auch in einen größeren Trend. Laut PeckShield stahlen Hacker im August über 163 Millionen Dollar in 16 Vorfällen, was einen Anstieg von 15 % gegenüber den 142 Millionen Dollar im Juli bedeutet. Obwohl die Diebstähle im Jahresvergleich um 47 % niedriger bleiben, scheinen Angreifer ihre Strategien zu ändern.