去中心化交易所Bunni遭受漏洞攻擊,據多家Web3安全公司的鏈上數據顯示,攻擊者操縱平台流動性計算後損失約240萬美元穩定幣。
"Bunni應用受到安全漏洞影響,"其團隊週二在X上確認。"作為預防措施,我們已暫停所有網路上的智能合約功能。我們的團隊正在積極調查,並將很快提供更新,"團隊補充道。
攻擊針對Bunni基於以太坊的智能合約。資金被抽走至一個持有133萬美元USDC和104萬美元USDT的地址。
Bunni核心貢獻者@Psaul26ix要求用戶儘快從平台提取資金。"如果你在Bunni有資金,請立即撤出,"他們在X上寫道。
Bunni通過Euler Finance引導流動性,這是一個去中心化借貸平台,使用戶能夠借貸並設計結構化加密產品。鑑於此次漏洞,Euler聯合創始人兼首席執行官Michael Bentley澄清,協議本身未受漏洞影響。
Cointelegraph已聯繫Bunni和Euler徵求評論,但截至發稿時尚未收到回覆。
Bunni如何遭受駭客攻擊
雖然技術事後分析尚未完成,但開發者和研究人員的早期分析指向Bunni處理流動性再平衡方式的缺陷。
Bunni構建在Uniswap v4之上,使用名為流動性分配函數(LDF)的自訂機制,而非Uniswap的預設邏輯。該機制允許Bunni優化跨價格區間的流動性分配,旨在增加流動性提供者的回報。
據KyberNetwork聯合創始人Victor Tran稱,攻擊者能夠通過執行特定規模的交易來操縱LDF曲線,觸發錯誤的再平衡邏輯。
"攻擊者發現他們可以通過進行非常特定規模的交易來操縱這個LDF,"Tran在X上寫道。"這些精心選擇的金額導致再平衡計算出錯,給出每個LP份額應擁有多少的錯誤結果,"他補充道。
攻擊者似乎多次執行了該漏洞,逐漸抽乾協議資金而沒有立即觸發警報。
8月加密駭客攻擊超過1.63億美元
8月,加密駭客和詐騙者在16起獨立事件中竊取了超過1.63億美元,較7月的1.42億美元增長15%。雖然該數字同比仍下降47%,但反映了隨著加密市場獲得動力,定向攻擊令人擔憂的上升。
PeckShield和其他網路安全專家注意到駭客行為的戰略轉變,攻擊者現在專注於中心化交易所和高價值個人,而非較小的去中心化目標。
8月最大的損失來自社會工程攻擊,一名比特幣持有者被誘騙向冒充加密交易所和硬體錢包提供商支持代理的攻擊者發送783枚BTC(價值9100萬美元)。