" Согласно данным, полученным от нескольких компаний, занимающихся безопасностью Web3, децентрализованная биржа Bunni стала жертвой эксплоита, потеряв около $2,4 млн в стейблкоинах после того, как злоумышленники манипулировали расчетами ликвидности платформы.
«Приложение Bunni подверглось атаке безопасности», — подтвердила команда проекта на платформе X во вторник.
«В качестве меры предосторожности мы приостановили работу всех смарт-контрактов во всех сетях. Наша команда активно расследует ситуацию и вскоре опубликует обновленную информацию», — добавила команда.
Атака была направлена на смарт-контракты Bunni на базе Ethereum. Средства были выведены на адрес, содержащий $1,33 млн в USD Coin (USDC) и $1,04 млн в Tether (USDT).
Основной участник Bunni Psaul26ix призвал пользователей как можно скорее вывести средства с платформы.
«Если у вас есть деньги на Bunni, выведите их как можно скорее», — написал он на X.
Bunni направляет ликвидность в Euler Finance (EUL), децентрализованную платформу кредитования, которая позволяет пользователям брать кредиты, давать займы и разрабатывать структурированные криптопродукты. В связи с эксплоитом соучредитель и генеральный директор Euler Майкл Бентли пояснил, что сам протокол остается незатронутым эксплойтом.
Эксперты просят пользователей Bunni вывести средства. Источник: Майкл Бентли.
Как Bunni стал жертвой взлома
Хотя техническое расследование еще не завершено, предварительный анализ, проведенный разработчиками и исследователями, указывает на ошибку в том, как Bunni обрабатывает перебалансировку ликвидности.
Bunni, созданный на основе Uniswap v4, использует собственный механизм, называемый функцией распределения ликвидности (LDF), вместо стандартной логики Uniswap. Этот механизм позволяет Bunni оптимизировать распределение ликвидности в различных ценовых диапазонах, стремясь повысить доходность поставщиков ликвидности.
По словам Виктора Трана, соучредителя Kyber Network (KNCL), злоумышленник смог манипулировать кривой LDF, совершая сделки определенных объемов, что привело к сбою в логике ребалансировки.
«Эксплуататор понял, что может манипулировать этим LDF, совершая сделки определенных объемов, — написал Тран в X. «Тщательно подобранные суммы привели к сбою в расчете ребалансировки, что привело к неверным результатам относительно того, сколько LP должны принадлежать каждой акции», — добавил он.
Похоже, злоумышленник применил эксплоит несколько раз, постепенно выводя средства протокола, не вызвав немедленного оповещения.
Злоумышленник эксплуатирует функцию ликвидности Bunni. Источник: Виктор Тран.
В ответ на эксплойт команда протокола Bunni предложила злоумышленнику вознаграждение в размере 10% в обмен на возврат оставшихся украденных средств. В сообщении, отправленном через Ethereum, команда предложила вознаграждение в качестве варианта решения проблемы. В сообщении содержались контактный адрес и адрес электронной почты, с предложением злоумышленнику обсудить условия.
Команда протокола Bunni предлагает хакеру вознаграждение в размере 10%. Источник: Etherscan
В августе сумма криптовзломов превысила $163 млн
В августе криптохакеры и мошенники похитили более $163 млн в 16 отдельных инцидентах, что на 15% больше, чем в июле, когда было украдено $142 млн. Хотя эта цифра все еще на 47% ниже, чем в прошлом году, она отражает тревожный рост числа целевых атак по мере роста криптовалютного рынка.
PeckShield и другие эксперты по кибербезопасности отметили стратегическое изменение в поведении хакеров: теперь злоумышленники сосредоточиваются на централизованных биржах и крупных частных лицах, а не на небольших децентрализованных целях.
Самый большой убыток в августе был понесен в результате атаки с использованием социальной инженерии, когда биткоинер был обманут и отправил 783 BTC (стоимостью $91 млн) злоумышленникам, выдававшим себя за агентов поддержки криптовалютной биржи и поставщика аппаратного кошелька.
