BunniXYZ以太坊交易所出现一系列未经授权的资金外流。链上调查人员确认这是一次黑客攻击,损失约230万美元。
BunniXYZ,一个以太坊去中心化交易所,通过其智能合约之一被攻击。黑客主要转移了稳定币,总损失达230万美元。
根据交易历史,黑客攻击了USDT和USDC金库,然后通过以太坊生态系统转移代币,最终获得了ETH和稳定币的混合资产。在最初几分钟内,BunniXYZ项目识别出针对其应用的攻击,关闭了所有智能合约。
黑客攻击后不久,攻击者继续通过其他DeFi协议将资金兑换成ETH。
在攻击后的一小时内,除了通过DeFi协议的初始移动外,黑客尚未移动或混合资金。对BunniXYZ的攻击是最近一系列相对较小黑客攻击的一部分,窃取金额不到1000万美元。
即使是相对较小的攻击也常常损害协议的声誉并摧毁新的DeFi中心。最近的智能合约攻击之一是针对BetterBank的,正如Cryptopolitan所报道的。此类攻击引发了内部作案的怀疑,或者是朝鲜黑客向Web3注入恶意代码。
BunniXYZ在巅峰时期遭到攻击
BunniXYZ是一个同时使用以太坊和Unichain的DEX。这个新市场还使用Uniswap V4技术创建特殊金库和具有更复杂交易规则的市场。
与其他市场一样,BunniXYZ在达到锁定价值的局部峰值后不久就遭到攻击。在8月底,该交易所的金库中持有高达6000万美元。该市场在2月份推出并在新的DeFi协议中找到自己的位置后,规模仍然相对较小。
8月也是该DEX最成功的月份之一,交易量超过10亿美元。该交易所专门为再抵押建立流动性,同时避免市场下跌期间的清算。DEX流动性还与Euler协议链接以获取被动收入。
BunniXYZ借助Uniswap V4扩大的交易量发展,该协议在以太坊上吸引了超过3.93亿美元到其金库,在Unichain上吸引了2.98亿美元。
黑客利用BunniXYZ流动性计算漏洞
黑客攻击后的分析显示,BunniXYZ由于其特定的流动性重新计算合约而变得脆弱。该DEX是一个流动性钩子,使用Uniswap V4技术。然而,BunniXYZ没有使用Uniswap的流动性计算,而是重新计算流动性分配函数。
攻击者发现流动性分配函数可能在特定规模的交易中出现问题。这意味着智能合约会从流动性池中支付比实际拥有更多的代币,最终导致交易所资金耗尽。攻击者必须重复多次交易才能最终累积230万美元,然后将它们兑换成ETH。根据钱包的最终余额,他随后将ETH存入Aave,持有价值133万美元的AethUSDC和100万美元的AethUSDT。
BunniXYZ此前已经进行过审计,但LDF漏洞可能是在交易所的后续版本中出现的。最可能的原因是精度错误,这要求黑客执行多次交易,基于有缺陷的重新计算来累积更大的余额。
如果你正在阅读这篇文章,你已经领先了。订阅我们的通讯,保持这种优势。
来源:https://www.cryptopolitan.com/ethereum-exchange-bunnixyz-drained-2-3m/
