Bunni-hyökkäys
Hajautettu pörssi Bunni joutui hyökkäyksen kohteeksi, menettäen noin 2,4 miljoonaa dollaria stablecoineja, kun hyökkääjät manipuloivat alustan likviditeettilaskelmia, kertoo useiden Web3-turvayritysten on-chain-data.
”Bunni-sovellukseen on vaikuttanut turvallisuusongelma,” tiimi vahvisti X:ssä tiistaina. ”Varotoimenpiteenä olemme keskeyttäneet kaikki älysopimusfunktiot kaikilla verkoilla. Tiimimme tutkii asiaa aktiivisesti ja antaa pian päivityksiä,” tiimi lisäsi.
Hyökkäys kohdistui Bunnin Ethereum-pohjaisiin älysopimuksiin. Varat siirrettiin osoitteeseen, jossa oli 1,33 miljoonaa USDC:tä ja 1,04 miljoonaa USDT:tä. Bunnin ydinosallistuja pyysi käyttäjiä nostamaan varansa alustalta mahdollisimman pian.
”Jos sinulla on rahaa Bunnissa, poista se heti,” he kirjoittivat X:ssä.
Bunni kanavoi likviditeettiä Euler Financeen, hajautettuun lainausalustaan, joka mahdollistaa käyttäjien lainata, lainata ja suunnitella rakenteellisia kryptotuotteita. Hyökkäyksen valossa Eulerin perustaja ja toimitusjohtaja Michael Bentley selvensi, että protokolla itsessään ei ole hyökkäyksestä kärsinyt. Cointelegraph otti yhteyttä Bunniin ja Euleriin kommenttien saamiseksi, mutta ei ollut saanut vastausta julkaisun aikaan.
Kuinka Bunni joutui hakkeroinnin kohteeksi
Vaikka tekninen jälkipuinti on vielä kesken, varhaisen analyysin mukaan kehittäjiltä ja tutkijoilta Bunnin likviditeetin uudelleen tasapainottamisessa on havaittu puutteita. Bunni, joka on rakennettu Uniswap v4:n päälle, käyttää mukautettua mekanismia nimeltä Likviditeettijakaumafunktio (LDF) Uniswapin oletuslogiikan sijaan. Tämä mekanismi mahdollistaa Bunnin optimoida likviditeettijakaumaa hintahaarukoissa, tavoitteena lisätä tuottoja likviditeettitoimittajille. Victor Tran, KyberNetworkin perustaja, kertoi, että hyökkääjä pystyi manipuloimaan LDF-käyrää suorittamalla tietyn kokoisia kauppoja, jotka laukaisevat virheellistä uudelleen tasapainottamislogiikkaa.
”Hyökkääjä tajusi, että he voivat manipuloida tätä LDF:ää tekemällä kauppoja hyvin tarkasti valituilla määrillä,” Tran kirjoitti X:ssä. ”Nämä huolellisesti valitut määrät aiheuttivat uudelleen tasapainottamislaskennan rikkoutuvan, antaen vääriä tuloksia siitä, kuinka paljon jokaisen LP-osuuden tulisi omistaa,” hän lisäsi.
Hyökkääjä näyttää suorittaneen hyökkäyksen useita kertoja, tyhjentäen vähitellen protokollan varoja ilman, että hälytyksiä laukaistiin välittömästi.
Kryptohakkeroinnit elokuussa
Elokuussa kryptohakkerit ja huijarit varastivat yli 163 miljoonaa dollaria 16 erillisessä tapauksessa, mikä merkitsee 15 prosentin nousua heinäkuun 142 miljoonasta dollarista. Vaikka luku on edelleen 47 prosenttia alhaisempi vuodesta vuoteen, se heijastaa huolestuttavaa nousua kohdennetuissa hyökkäyksissä kryptomarkkinoiden saadessa vauhtia. PeckShield ja muut kyberturvallisuusasiantuntijat huomauttivat strategisesta muutoksesta hakkeroinnin käyttäytymisessä, jossa hyökkääjät keskittyvät nyt keskitettyihin pörsseihin ja korkeasti arvostettuihin yksilöihin sen sijaan, että kohdistuisivat pienempiin, hajautettuihin kohteisiin. Suurin menetys elokuussa tuli sosiaalisen manipuloinnin hyökkäyksestä, jossa Bitcoinin käyttäjä huijattiin lähettämään 783 BTC:tä (arvoltaan 91 miljoonaa dollaria) hyökkääjille, jotka esiintyivät kryptopörssin ja laitteistolompakon tarjoajien tukihenkilöinä.
