BunniXYZ イーサリアム取引所で一連の不正な出金が発生。オンチェーン調査員はこの事象をハッキングと特定し、損失額は約230万ドルに達した。
イーサリアム分散型取引所のBunniXYZは、そのスマートコントラクトの1つを通じて攻撃を受けた。ハッカーは主にステーブルコインを移動させ、総損失額は230万ドルとなった。
トランザクション履歴によると、ハッカーはUSDTとUSDCのヴォールトを攻撃し、その後トークンをイーサリアムエコシステム経由で移動させ、最終的にETHとステーブルコインの混合を手に入れた。最初の数分以内に、BunniXYZプロジェクトはそのアプリに対する攻撃を認識し、すべてのスマートコントラクトを閉鎖した。
ハッキング直後、攻撃者は他のDeFiプロトコルを通じて資金をETHにスワップし続けた。
攻撃後の1時間の間に、ハッカーはDeFiプロトコルを通じた最初の動きを除いて、まだ資金の移動や混合を行っていなかった。BunniXYZに対する攻撃は、1000万ドル未満を盗む比較的小規模なハッキングの最新シリーズの一部である。
比較的小規模な攻撃でさえ、しばしばプロトコルの評判を損ない、新しいDeFiハブを破壊する。最近のスマートコントラクト攻撃の一つはBetterBankに対するものであり、Cryptopolitanが報告した通りである。このような攻撃は、インサイダーの仕業や、北朝鮮のハッカーによってWeb3に注入された悪意のあるコードの疑いを高める。
ピーク時に攻撃されたBunniXYZ
BunniXYZはイーサリアムとUnichain両方を使用する分散型取引所である。この新しい市場はまた、Uniswap V4技術を使用して、より複雑な取引ルールを持つ特別なヴォールトと市場を作成している。
他の市場と同様に、BunniXYZはロックされた価値のローカルピークに達した直後に攻撃された。8月末、取引所はそのヴォールトに最大6000万ドルを保有していた。2月に立ち上げられ、新しいDeFiプロトコルの中で自らの位置を確立した後も、市場はまだ比較的小規模だった。
8月はまた、取引高が10億ドルを超え、この分散型取引所にとって最も成功した月の一つでもあった。取引所は特に再担保化のための流動性を構築しながら、市場の下落時の清算を回避していた。分散型取引所の流動性はまた、受動的収入のためにEuler Protocolにもリンクされていた。
BunniXYZはUniswap V4の拡大された取引量に乗り、プロトコルはイーサリアム上のヴォールトに3億9300万ドル以上、Unichain上に2億9800万ドルを集めた。
ハッカーがBunniXYZの流動性計算を悪用
ハッキング後の分析によると、BunniXYZはその特定の流動性再計算コントラクトのために脆弱だったことが示された。この分散型取引所はUniswap V4技術を使用する流動性フックである。しかし、Uniswapの流動性計算を使用する代わりに、BunniXYZは流動性分配関数を再計算する。
攻撃者は特定のサイズの取引から流動性分配関数が破綻する可能性を発見した。これは、スマートコントラクトが実際に所有しているよりも多くのトークンを流動性プールから支払い、最終的に取引所を枯渇させることを意味した。攻撃者は最終的に230万ドルを蓄積するために複数のトランザクションを繰り返す必要があり、その後それらをETHにスワップした。その後、ETHをAaveに預け入れ、ウォレットの最終残高に基づいて133万ドルをAethUSDCで、100万ドルをAethUSDTで保有することになった。
BunniXYZは以前の監査を受けていたが、LDFバグは取引所の後のバージョンで発生した可能性がある。最も考えられる原因は精度のバグであり、ハッカーは欠陥のある再計算に基づいてより大きな残高を蓄積するために複数のトランザクションを実行する必要があった。
これを読んでいるあなたは、すでに先を行っています。私たちのニュースレターでその状態を維持しましょう。
出典: https://www.cryptopolitan.com/ethereum-exchange-bunnixyz-drained-2-3m/
