De BunniXYZ Ethereum-uitwisseling zag een reeks ongeautoriseerde uitstromen. On-chain onderzoekers identificeerden het incident als een hack, met verliezen van ongeveer $2,3M.
BunniXYZ, een gedecentraliseerde Ethereum-uitwisseling, is geëxploiteerd via een van zijn smart contracts. De hacker verplaatste voornamelijk stablecoins, met een totaal verlies van $2,3M.
Op basis van de transactiegeschiedenis, viel de hacker USDT- en USDC-kluizen aan, verplaatste vervolgens de tokens door het Ethereum-ecosysteem, en eindigde met een mix van ETH en stablecoins. Binnen de eerste minuten herkende het BunniXYZ-project de aanval op zijn app en sloot alle smart contracts.
Kort na de hack bleef de exploitant fondsen omwisselen naar ETH via andere DeFi-protocollen.
In het uur na de aanval had de hacker de fondsen nog niet verplaatst of gemengd, behalve de eerste bewegingen via DeFi-protocollen. De aanval tegen BunniXYZ maakt deel uit van de nieuwste reeks relatief kleine hacks, waarbij minder dan $10M wordt gestolen.
Zelfs de relatief kleine aanvallen kosten vaak de reputatie van protocollen en vernietigen nieuwe DeFi-hubs. Een van de meest recente smart contract-exploits was tegen BetterBank, zoals Cryptopolitan meldde. Dergelijke aanvallen wekken vermoedens van insider jobs, of kwaadaardige code die door DPRK-hackers in Web3 is geïnjecteerd.
BunniXYZ aangevallen op het hoogtepunt
BunniXYZ is een DEX die zowel Ethereum als Unichain gebruikt. De nieuwe markt gebruikt ook de Uniswap V4-technologie om speciale kluizen en markten te creëren met complexere handelsregels.
Net als bij andere markten werd BunniXYZ aangevallen kort nadat het een lokale piek van vastgezette waarde had bereikt. Eind augustus had de uitwisseling tot $60M in zijn kluizen. De markt was nog relatief klein, na de lancering in februari en het vinden van zijn plaats tussen nieuwe DeFi-protocollen.
Augustus was ook een van de meest succesvolle maanden voor de DEX, met meer dan $1B aan volumes. De uitwisseling bouwde specifiek liquiditeit op voor rehypothecatie, terwijl liquidaties tijdens marktdalingen werden vermeden. De DEX-liquiditeit was ook gekoppeld aan het Euler Protocol voor passief inkomen.
BunniXYZ profiteerde van de uitgebreide volumes van Uniswap V4, aangezien het protocol meer dan $393M naar zijn kluizen op Ethereum en $298M op Unichain trok.
Hacker exploiteerde BunniXYZ-liquiditeitsberekening
Post-hack analyse toonde aan dat BunniXYZ kwetsbaar was vanwege zijn specifieke liquiditeitsherberekeningscontract. De DEX is een liquiditeitshook, die de Uniswap V4-technologie gebruikt. Echter, in plaats van Uniswap's liquiditeitsberekening te gebruiken, herberekent BunniXYZ de Liquidity Distribution Function.
De exploitant ontdekte dat de Liquidity Distribution Function kon breken bij transacties van specifieke groottes. Dit betekende dat het smart contract meer tokens zou uitbetalen uit de liquiditeitspool dan in werkelijkheid in bezit waren, waardoor de uitwisseling uiteindelijk werd leeggehaald. De aanvaller moest meerdere transacties herhalen om uiteindelijk $2,3M te verzamelen, en deze vervolgens om te wisselen voor ETH. Hij eindigde met het storten van de ETH in Aave, waarbij hij $1,33M in AethUSDC en $1M in AethUSDT aanhield op basis van het wallet's uiteindelijke saldo.
BunniXYZ heeft eerdere audits ondergaan, maar de LDF-bug is mogelijk met een latere versie van de uitwisseling meegekomen. De meest waarschijnlijke oorzaak is een precisie-bug, waardoor de hacker meerdere transacties moest uitvoeren om een groter saldo op te bouwen op basis van de gebrekkige herberekening.
Als je dit leest, loop je al voor. Blijf daar met onze nieuwsbrief.
Bron: https://www.cryptopolitan.com/ethereum-exchange-bunnixyz-drained-2-3m/
