Bunni DEX、流動性リバランス攻撃で240万ドルの損失
- Bunni DEXのエクスプロイトにより、Uniswap v4のフックを通じて流動性ロジックが標的となり、240万ドルが流出しました。
- 攻撃者は特定のサイズの取引を利用して計算を破壊し、ステーブルコインを流出させました。
- 暗号資産のハッキング被害は8月に1億6300万ドルに増加し、デジタル市場における脅威の変化を示しています。
分散型取引所Bunniは、Ethereumベースのスマートコントラクトの脆弱性を攻撃者に突かれ、約240万ドルを失いました。複数のWeb3セキュリティ企業によるオンチェーンデータで、USDCおよびUSDTのステーブルコインの損失が確認されています。攻撃者はBunniの流動性分配ロジックを操作し、資金をUSDCで133万ドル、USDTで104万ドルを保有するアドレスに流出させました。彼らは、価格帯全体で流動性を最適化するために設計されたLiquidity Distribution Function(LDF)の脆弱性を悪用しました。
Bunniのコアコントリビューターである@Psaul26ixは、ユーザーに資金の引き出しを促しました。「Bunniに資金がある場合は、できるだけ早く引き出してください」と投稿しています。この警告は、流動性が脆弱なプールに残っている場合、攻撃者が資産を引き続き流出させる可能性があるとの懸念を受けて発せられました。
その後、BunniはXで声明を発表し、侵害を確認しました。「Bunniアプリはセキュリティエクスプロイトの影響を受けています」とチームは発表しました。また、予防措置として、ネットワーク全体のすべてのスマートコントラクト機能が一時停止されたことも付け加えました。
フックと拡大する攻撃対象領域
BunniはUniswap v4のフックシステム上で動作しています。Uniswap LabsのCEOであるHayden Adamsは、フックを「プール、スワップ、手数料、LPポジションの相互作用をカスタマイズするためのプラグイン」と説明しています。この機能により、プロトコルはUniswapのフレームワーク上に独自の機能を追加できます。
Uniswap v4はフラッシュアカウンティング、シングルトンアーキテクチャ、ネイティブETHサポートなどの高度な機能を備えていますが、フックは新たな攻撃ポイントを生み出します。Bunniのエクスプロイトは、カスタマイズが強力である一方で、メカニズムが十分にテストされていない場合、リスクが増大することを示しました。
KyberNetworkの共同創設者であるVictor Tranは、エクスプロイトの仕組みを詳述しました。「エクスプロイターは、非常に特定のサイズの取引を行うことでこのLDFを操作できることに気付きました」と彼はXで述べています。Tranは、これらの取引がリバランス計算を破壊し、流動性提供者のシェアに対して誤った結果を生み出したと説明しました。
攻撃者はこのエクスプロイトを複数回繰り返し、即時の警報を引き起こすことなく、徐々に数百万ドルを流出させました。これは、カスタムロジックの脆弱性が標準的な検出システムを回避するステルス攻撃を可能にすることを示しています。
DeFiにおける広範なセキュリティ懸念
Bunniの流動性はEuler Financeを通じて機能しており、これは貸付・借入契約であり、金融商品も構築しています。攻撃後、Eulerの創設者であるMichael Bentleyは、Bunniが流動性をEulerに出し入れすることがあるが、Euler自体には影響がなかったと説明しました。彼の説明は、より大きな連鎖的崩壊への懸念に対応するものでした。
新しいDeFiリリースの最大のセールスポイントの一つは、自動リバランス、柔軟な手数料構造、即時の資本利用可能性などの高度な機能の追加です。しかし、これらのイノベーションは、現実世界の攻撃シナリオでストレステストされることがほとんどないため、新たな脆弱性をもたらすことが多いです。
関連:暗号資産のハッキング被害、8月に1億6300万ドルに急増、攻撃が15%増加
このようなリスクに対処するため、セキュリティ専門家は予防措置の重要性を強調しています。推奨される実践には、正式な監査、敵対的シミュレーション、時間遅延デプロイメント、十分な資金を持つバグバウンティプログラムなどが含まれます。これらの対策は、資産会計を変更するフックやその他の機能にとって不可欠であると専門家は指摘しています。
Bunniの事件は、より大きなトレンドにも当てはまります。PeckShieldによると、ハッカーは8月に16件の事件で1億6300万ドル以上を盗み、7月の1億4200万ドルから15%増加しました。年間ベースでは被害は47%減少していますが、攻撃者は戦略を変えているようです。
免責事項:本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。
こちらもいかがですか?
VanEckの投資マネージャーにインタビュー:機関投資家の視点から見て、今BTCを買うべきか?
78,000ドルおよび70,000ドル付近のサポートは、良いエントリーのチャンスです。
マクロレポート:トランプ、FRB、そして貿易が史上最大の市場変動をどのように引き起こすか
米ドルの意図的な価値下落が、極端な越境不均衡と過度な評価と衝突し、ボラティリティイベントを引き起こそうとしています。
Vitalikは、あなたが聞いたことのない2つのチャットアプリに256ETHを寄付しましたが、一体何に賭けているのでしょうか?
彼は明確に指摘しました:この2つのアプリケーションはいずれも完璧ではなく、真のユーザー体験とセキュリティを実現するには、まだ長い道のりがあると。
予測市場のスーパーサイクル
トレンド
もっと見る暗号資産価格
もっと見る
