Pertukaran Ethereum BunniXYZ mengalami serangkaian aliran keluar yang tidak sah. Penyelidik on-chain mengidentifikasi kejadian tersebut sebagai peretasan, dengan kerugian sekitar $2,3 juta.
BunniXYZ, sebuah pertukaran terdesentralisasi Ethereum, telah dieksploitasi melalui salah satu kontrak pintarnya. Peretas tersebut memindahkan sebagian besar stablecoin, dengan total kerugian $2,3 juta.
Berdasarkan riwayat transaksi, peretas menyerang vault USDT dan USDC, kemudian memindahkan token melalui ekosistem Ethereum, berakhir dengan campuran ETH dan stablecoin. Dalam beberapa menit pertama, proyek BunniXYZ mengenali serangan terhadap aplikasinya, menutup semua kontrak pintar.
Segera setelah peretasan, pelaku eksploitasi terus menukar dana menjadi ETH melalui protokol DeFi lainnya.
Dalam satu jam setelah serangan, peretas belum memindahkan atau mencampur dana, kecuali untuk pergerakan awal melalui protokol DeFi. Serangan terhadap BunniXYZ adalah bagian dari rangkaian terbaru peretasan yang relatif kecil, mencuri kurang dari $10 juta.
Bahkan serangan yang relatif kecil sering kali merusak reputasi protokol dan menghancurkan pusat DeFi baru. Salah satu eksploitasi kontrak pintar terbaru adalah terhadap BetterBank, seperti yang dilaporkan Cryptopolitan. Serangan seperti itu menimbulkan kecurigaan adanya pekerjaan orang dalam, atau kode berbahaya yang disuntikkan ke Web3 oleh peretas DPRK.
BunniXYZ diserang pada puncaknya
BunniXYZ adalah DEX yang menggunakan Ethereum dan Unichain. Pasar baru ini juga menggunakan teknologi Uniswap V4 untuk membuat vault khusus dan pasar dengan aturan perdagangan yang lebih kompleks.
Seperti pasar lainnya, BunniXYZ diserang segera setelah mencapai puncak lokal nilai yang terkunci. Pada akhir Agustus, pertukaran tersebut menampung hingga $60 juta di vault-nya. Pasar masih relatif kecil, setelah diluncurkan pada Februari dan menemukan tempatnya di antara protokol DeFi baru.
Agustus juga merupakan salah satu bulan paling sukses untuk DEX, dengan volume lebih dari $1 miliar. Pertukaran tersebut secara khusus membangun likuiditas untuk rehipotekasi, sambil menghindari likuidasi selama penurunan pasar. Likuiditas DEX juga terhubung dengan Protokol Euler untuk pendapatan pasif.
BunniXYZ memanfaatkan volume yang diperluas dari Uniswap V4, karena protokol tersebut menarik lebih dari $393 juta ke vault-nya di Ethereum dan $298 juta di Unichain.
Peretas mengeksploitasi perhitungan likuiditas BunniXYZ
Analisis pasca-peretasan menunjukkan BunniXYZ rentan karena kontrak penghitungan ulang likuiditas spesifiknya. DEX adalah hook likuiditas, menggunakan teknologi Uniswap V4. Namun, alih-alih menggunakan perhitungan likuiditas Uniswap, BunniXYZ menghitung ulang Fungsi Distribusi Likuiditas.
Pelaku eksploitasi menemukan bahwa Fungsi Distribusi Likuiditas bisa rusak dari perdagangan dengan ukuran tertentu. Ini berarti kontrak pintar akan membayarkan lebih banyak token dari kumpulan likuiditas daripada yang dimiliki dalam kenyataannya, yang akhirnya menguras pertukaran. Penyerang harus mengulangi beberapa transaksi untuk akhirnya mengumpulkan $2,3 juta, kemudian menukarnya dengan ETH. Dia kemudian menyimpan ETH ke Aave, memegang $1,33 juta dalam AethUSDC dan $1 juta dalam AethUSDT berdasarkan saldo akhir dompet.
BunniXYZ telah menjalani audit sebelumnya, tetapi bug LDF mungkin muncul dengan versi pertukaran yang lebih baru. Penyebab yang paling mungkin adalah bug presisi, yang mengharuskan peretas melakukan beberapa transaksi untuk mengumpulkan saldo yang lebih besar berdasarkan penghitungan ulang yang cacat.
Jika Anda membaca ini, Anda sudah selangkah di depan. Tetaplah di sana dengan buletin kami.
Sumber: https://www.cryptopolitan.com/ethereum-exchange-bunnixyz-drained-2-3m/
