L'échange Ethereum BunniXYZ a connu une série de débits non autorisés. Les enquêteurs on-chain ont identifié l'événement comme un piratage, avec des pertes d'environ 2,3 millions de dollars.
BunniXYZ, un échange décentralisé Ethereum, a été exploité via l'un de ses Smart Contracts. Le pirate a principalement déplacé des stablecoins, pour une perte totale de 2,3 millions de dollars.
Selon l'historique des transactions, le pirate a attaqué les coffres USDT et USDC, puis a déplacé les tokens à travers l'écosystème Ethereum, finissant avec un mélange d'ETH et de stablecoins. Dans les premières minutes, le projet BunniXYZ a reconnu l'attaque contre son application, fermant tous les Smart Contracts.
Peu après le piratage, l'exploitant a continué à échanger des fonds en ETH via d'autres protocoles DeFi.
Dans l'heure qui a suivi l'attaque, le pirate n'avait pas encore déplacé ou mélangé les fonds, à l'exception des mouvements initiaux via les protocoles DeFi. L'attaque contre BunniXYZ fait partie de la dernière série de piratages relativement mineurs, volant moins de 10 millions de dollars.
Même les attaques relativement petites coûtent souvent la réputation des protocoles et détruisent les nouveaux hubs DeFi. L'une des plus récentes exploitations de Smart Contract était contre BetterBank, comme l'a rapporté Cryptopolitan. De telles attaques soulèvent des soupçons de travaux internes, ou de code malveillant injecté dans le Web3 par des pirates de la RPDC.
BunniXYZ attaqué à son apogée
BunniXYZ est un DEX utilisant à la fois Ethereum et Unichain. Le nouveau marché utilise également la technologie Uniswap V4 pour créer des coffres spéciaux et des marchés avec des règles de trading plus complexes.
Comme pour d'autres marchés, BunniXYZ a été attaqué peu après avoir atteint un pic local de valeur verrouillée. À la fin du mois d'août, l'échange portait jusqu'à 60 millions de dollars dans ses coffres. Le marché était encore relativement petit, après son lancement en février et avoir trouvé sa place parmi les nouveaux protocoles DeFi.
Août a également été l'un des mois les plus réussis pour le DEX, avec plus d'un milliard de dollars en volumes. L'échange construisait spécifiquement de la liquidité pour la rehypothécation, tout en évitant les liquidations pendant les baisses du marché. La liquidité du DEX était également liée au protocole Euler pour des revenus passifs.
BunniXYZ a profité des volumes élargis d'Uniswap V4, le protocole ayant attiré plus de 393 millions de dollars dans ses coffres sur Ethereum et 298 millions de dollars sur Unichain.
Le pirate a exploité le calcul de liquidité de BunniXYZ
L'analyse post-piratage a montré que BunniXYZ était vulnérable en raison de son contrat spécifique de recalcul de liquidité. Le DEX est un hook de liquidité, utilisant la technologie Uniswap V4. Cependant, au lieu d'utiliser le calcul de liquidité d'Uniswap, BunniXYZ recalcule la fonction de distribution de liquidité.
L'exploitant a découvert que la fonction de distribution de liquidité pouvait se briser à partir de transactions de tailles spécifiques. Cela signifiait que le Smart Contract paierait plus de tokens depuis le pool de liquidité que ce qu'il possédait en réalité, finissant par vider l'échange. L'attaquant a dû répéter plusieurs transactions pour finalement accumuler 2,3 millions de dollars, puis les échanger contre de l'ETH. Il a ensuite fini par déposer l'ETH dans Aave, détenant 1,33 million de dollars en AethUSDC et 1 million de dollars en AethUSDT selon le solde final du portefeuille.
BunniXYZ a subi des audits précédents, mais le bug LDF pourrait être arrivé avec une version ultérieure de l'échange. La cause la plus probable est un bug de précision, qui a obligé le pirate à effectuer plusieurs transactions pour accumuler un solde plus important basé sur le recalcul défectueux.
Si vous lisez ceci, vous avez déjà une longueur d'avance. Restez-y avec notre newsletter.
Source: https://www.cryptopolitan.com/ethereum-exchange-bunnixyz-drained-2-3m/
