Bunni DEX likvidlikni qayta muvozanatlashtirish hujumi natijasida $2.4M yo‘qotdi

• Bunni DEX ekspluatatsiyasi Uniswap v4 hooks orqali likvidlik logikasini nishonga olib, $2.4M mablag‘ni o‘g‘irladi.
• Hujumchilar hisob-kitoblarni buzish va stablecoinlarni chiqarib olish uchun aniq o‘lchamdagi savdolardan foydalandi.
• Kripto xakerliklari avgust oyida $163M ga yetdi, bu raqam raqamli bozorlardagi tahdidlarning o‘zgarayotganini ko‘rsatmoqda.

Markazlashmagan birja Bunni Ethereum asosidagi smart-kontraktlaridagi zaifliklardan foydalangan hujumchilar tomonidan taxminan $2.4 million yo‘qotdi. Bir nechta Web3 xavfsizlik firmalarining onchain ma’lumotlari USDC va USDT stablecoinlarining yo‘qotilganini tasdiqladi. Hujumchilar Bunni’ning likvidlik taqsimoti logikasini manipulyatsiya qilib, $1.33 million USDC va $1.04 million USDT saqlanayotgan manzilga mablag‘larni chiqarib olishdi. Ular narx diapazonlari bo‘ylab likvidlikni optimallashtirish uchun mo‘ljallangan Liquidity Distribution Function (LDF) zaifliklaridan foydalandi.

Bunni asosiy ishtirokchisi @Psaul26ix foydalanuvchilarga mablag‘larini olib chiqishni tavsiya qildi. “Agar sizda Bunni’da pul bo‘lsa, uni darhol olib chiqing,” deb yozdi u. Ushbu ogohlantirish, agar likvidlik zaif havzalarda qolsa, hujumchilar aktivlarni chiqarib olishni davom ettirishi mumkinligi haqidagi xavotirlardan so‘ng berildi.

Keyinchalik, Bunni X’dagi bayonotida buzilish sodir bo‘lganini tasdiqladi. “Bunni ilovasi xavfsizlik ekspluatatsiyasidan zarar ko‘rdi,” deb e’lon qildi jamoa. Ular barcha tarmoqlardagi smart-kontrakt funksiyalari ehtiyot chorasi sifatida to‘xtatilganini qo‘shimcha qilishdi.

Hooks va kengayib borayotgan hujum yuzasi

Bunni Uniswap v4’ning hooks tizimida ishlaydi. Uniswap Labs bosh direktori Hayden Adams hooks’ni “havzalar, almashuvlar, to‘lovlar va LP pozitsiyalari qanday o‘zaro ta’sir qilishi mumkinligini sozlash uchun plaginlar” deb ta’rifladi. Ushbu funksiya protokollarga Uniswap asosida noyob funksionallik qo‘shish imkonini beradi.

Uniswap v4 flash accounting, singleton arxitekturasi va mahalliy ETH qo‘llab-quvvatlashi kabi ilg‘or funksiyalarni o‘z ichiga olgan bo‘lsa-da, hooks yangi hujum nuqtalarini yaratadi. Bunni ekspluatatsiyasi shuni ko‘rsatdiki, sozlash imkoniyati kuchli bo‘lsa-da, mexanizmlar yetarlicha sinovdan o‘tmaganida xavf oshadi.

KyberNetwork hammuassisi Victor Tran ekspluatatsiya qanday ishlaganini batafsil tushuntirdi. “Ekspluatator ushbu LDF’ni juda aniq o‘lchamdagi savdolar orqali manipulyatsiya qilish mumkinligini aniqladi,” deb yozdi u X’da. Tran bu savdolar balanslash hisob-kitobini buzganini va natijada likvidlik provayderlari ulushi uchun noto‘g‘ri natijalar chiqqanini tushuntirdi.

Hujumchi ekspluatatsiyani bir necha bor takrorladi va darhol ogohlantirishlarni ishga tushirmasdan millionlab mablag‘larni asta-sekin chiqarib oldi. Bu esa maxsus logikadagi zaifliklar standart aniqlash tizimlaridan chetlab o‘tadigan yashirin hujumlarga imkon berishini ko‘rsatdi.

DeFi’dagi kengroq xavfsizlik muammolari

Bunni’ning likvidlik funksiyalari Euler Finance orqali ishlaydi, bu esa kreditlash va qarz berish kelishuvi bo‘lib, moliyaviy mahsulotlar ham yaratadi. Hujumdan so‘ng, Euler asoschisi Michael Bentley Bunni vaqti-vaqti bilan likvidlikni Euler orqali yo‘naltirishini, biroq Euler’ning o‘zi ta’sir ko‘rmaganini tushuntirdi. Uning izohi kengroq domino effektidan xavotirlarni bartaraf etishga xizmat qildi.   

Yangi DeFi mahsulotlarining eng katta afzalliklaridan biri avtomatlashtirilgan balanslash, moslashuvchan to‘lov tuzilmalari va tezkor kapital mavjudligi kabi ilg‘or funksiyalarning qo‘shilishidir. Biroq, bu innovatsiyalar ko‘pincha yangi zaifliklarni keltirib chiqaradi, chunki ular real dunyo hujum ssenariylariga qarshi kamdan-kam hollarda sinovdan o‘tadi. 

Tegishli: Crypto Hacks Hit $163M in August as Attacks Surge 15%

Bunday xatarlarni bartaraf etish uchun xavfsizlik bo‘yicha mutaxassislar oldini olish choralarining muhimligini ta’kidlaydi. Tavsiya etilgan amaliyotlar qatoriga rasmiy auditlar, dushmanlik simulyatsiyalari, vaqt kechiktirilgan joriy etishlar va yaxshi moliyalashtirilgan bug bounty dasturlari kiradi. Mutaxassislarning ta’kidlashicha, ushbu choralar hooks va aktivlar hisobini o‘zgartiradigan boshqa funksiyalar uchun juda muhimdir.

Bunni hodisasi ham kengroq tendensiyaga mos keladi. PeckShield ma’lumotlariga ko‘ra, xakerlar avgust oyida 16 ta hodisada $163 milliondan ortiq mablag‘ o‘g‘irlashgan, bu esa iyul oyidagi $142 milliondan 15% ko‘p. O‘g‘irliklar yil davomida 47% ga kamaygan bo‘lsa-da, hujumchilar strategiyalarini o‘zgartirayotgani ko‘rinmoqda.