BunniXYZ 以太坊交易所出現一系列未經授權的資金外流。鏈上調查人員將此事件識別為黑客攻擊,損失約 230 萬美元。
BunniXYZ,一個以太坊去中心化交易所,通過其智能合約之一被攻擊。黑客主要轉移穩定幣,總損失達 230 萬美元。
根據交易歷史,黑客攻擊了 USDT 和 USDC 金庫,然後通過以太坊生態系統轉移代幣,最終獲得了 ETH 和穩定幣的混合資產。在最初幾分鐘內,BunniXYZ項目識別出針對其應用的攻擊,關閉了所有智能合約。
黑客攻擊後不久,攻擊者繼續通過其他 DeFi 協議將資金兌換成 ETH。
在攻擊後的一小時內,除了通過 DeFi 協議的初始移動外,黑客尚未移動或混合資金。針對 BunniXYZ 的攻擊是最近一系列相對較小黑客攻擊的一部分,竊取金額不到 1000 萬美元。
即使是相對較小的攻擊也常常損害協議的聲譽並摧毀新的 DeFi 中心。最近的智能合約攻擊之一是針對 BetterBank,正如 Cryptopolitan 報導的那樣。此類攻擊引發了內部作案的懷疑,或者是 DPRK 黑客注入 Web3 的惡意代碼。
BunniXYZ 在巔峰時期遭到攻擊
BunniXYZ 是一個同時使用以太坊和 Unichain 的 DEX。這個新市場還使用 Uniswap V4 技術創建特殊金庫和具有更複雜交易規則的市場。
與其他市場一樣,BunniXYZ 在達到鎖定價值的局部峰值後不久就遭到攻擊。在八月底,交易所的金庫中持有高達 6000 萬美元。該市場在二月推出並在新的 DeFi 協議中找到自己的位置後,規模仍然相對較小。
八月也是該 DEX 最成功的月份之一,交易量超過 10 億美元。該交易所專門為再抵押建立流動性,同時避免市場下跌期間的清算。DEX 流動性還與 Euler 協議連接以獲取被動收入。
BunniXYZ 依靠 Uniswap V4 擴大的交易量,該協議在以太坊上的金庫吸引了超過3.93 億美元,在 Unichain 上吸引了 2.98 億美元。
黑客利用 BunniXYZ 流動性計算漏洞
攻擊後分析顯示,BunniXYZ 由於其特定的流動性重新計算合約而易受攻擊。該 DEX 是一個流動性鉤子,使用 Uniswap V4 技術。然而,BunniXYZ 不使用 Uniswap 的流動性計算,而是重新計算流動性分配函數。
攻擊者發現流動性分配函數可能因特定規模的交易而崩潰。這意味著智能合約會從流動性池中支付比實際擁有更多的代幣,最終導致交易所資金耗盡。攻擊者必須重複多次交易才能最終累積 230 萬美元,然後將它們兌換成 ETH。他隨後將 ETH 存入 Aave,根據錢包的最終餘額,持有價值 133 萬美元的 AethUSDC 和 100 萬美元的 AethUSDT。
BunniXYZ 之前已經進行過審計,但 LDF 漏洞可能是隨著交易所的後續版本出現的。最可能的原因是精度錯誤,這要求黑客執行多次交易,基於有缺陷的重新計算來累積更大的餘額。
如果你正在閱讀這篇文章,你已經領先了。訂閱我們的通訊,保持這種優勢。
來源:https://www.cryptopolitan.com/ethereum-exchange-bunnixyz-drained-2-3m/
