L'exchange BunniXYZ su Ethereum ha registrato una serie di deflussi non autorizzati. Gli investigatori on-chain hanno identificato l'evento come un hack, con perdite di circa 2,3 milioni di dollari.
BunniXYZ, un exchange decentralizzato su Ethereum, è stato sfruttato tramite uno dei suoi smart contract. L'hacker ha trasferito principalmente stablecoin, per una perdita totale di 2,3 milioni di dollari.
In base alla cronologia delle transazioni , l'hacker ha attaccato i vault di USDT e USDC, quindi ha spostato i token attraverso l'ecosistema Ethereum, finendo con un mix di ETH e stablecoin. Nei primi minuti, il progetto BunniXYZ ha riconosciuto l'attacco contro la sua app, chiudendo tutti gli smart contract.
Poco dopo l'hack, l'attaccante ha continuato a swap fondi in ETH tramite altri protocolli DeFi.
Nell'ora successiva all'attacco, l'hacker non ha ancora spostato o mischiato i fondi, eccetto i movimenti iniziali tramite protocolli DeFi. L'attacco contro BunniXYZ fa parte della più recente serie di hack relativamente minori, con furti inferiori a 10 milioni di dollari.
Anche gli attacchi relativamente piccoli spesso costano la reputazione dei protocolli e distruggono nuovi hub DeFi. Uno degli exploit più recenti contro smart contract ha colpito BetterBank, come riportato da Cryptopolitan reported . Tali attacchi sollevano sospetti su possibili complicità interne o codice malevolo iniettato nel Web3 da hacker della DPRK.
BunniXYZ attaccato al picco
BunniXYZ è un DEX che utilizza sia Ethereum che Unichain. Il nuovo mercato utilizza anche la tecnologia Uniswap V4 per creare vault e mercati speciali con regole di trading più complesse.
Come altri mercati, BunniXYZ è stato attaccato subito dopo aver raggiunto un picco locale di valore bloccato. Alla fine di agosto, l'exchange deteneva fino a 60 milioni di dollari nei suoi vault. Il mercato era ancora relativamente piccolo, essendo stato lanciato a febbraio e trovando la sua posizione tra i nuovi protocolli DeFi.
Agosto è stato anche uno dei mesi di maggior successo per il DEX, con oltre 1 miliardo di dollari di volumi. L'exchange stava costruendo specificamente liquidità per la rehypothecation , evitando le liquidazioni durante i ribassi di mercato. La liquidità del DEX era anche collegata a Euler Protocol per un reddito passivo.
BunniXYZ ha beneficiato dei volumi ampliati di Uniswap V4, poiché il protocollo ha attirato oltre 393 milioni di dollari nei suoi vault su Ethereum e 298 milioni su Unichain.
L'hacker ha sfruttato il calcolo della liquidità di BunniXYZ
L'analisi post-hack ha mostrato che BunniXYZ era vulnerabile a causa del suo specifico contratto di ricalcolo della liquidità. Il DEX è un liquidity hook, che utilizza la tecnologia Uniswap V4. Tuttavia, invece di utilizzare il calcolo della liquidità di Uniswap, BunniXYZ ricalcola la Liquidity Distribution Function.
L'attaccante ha scoperto che la Liquidity Distribution Function poteva essere compromessa da trade di dimensioni specifiche. Questo significava che lo smart contract avrebbe pagato più token dal pool di liquidità di quanti ne possedesse realmente, finendo per svuotare l'exchange. L'attaccante ha dovuto ripetere più transazioni per accumulare infine 2,3 milioni di dollari, quindi convertirli in ETH. Successivamente ha depositato l'ETH su Aave, detenendo 1,33 milioni di dollari in AethUSDC e 1 milione in AethUSDT in base al saldo finale del wallet.
BunniXYZ ha già subito audit precedenti, ma il bug LDF potrebbe essere arrivato con una versione successiva dell'exchange. La causa più probabile è un bug di precisione, che ha richiesto all'hacker di eseguire più transazioni per accumulare un saldo maggiore basato sul ricalcolo errato.
Se stai leggendo questo, sei già un passo avanti. Rimani aggiornato con la nostra newsletter.
