حمله به صرافی غیرمتمرکز Bunni؛ ۲.۴ میلیون دلار دزدیده شد

صرافی غیرمتمرکز Bunni پس از حمله ۲.۴ میلیون دلاری در تابع نقدینگی متوقف شد

صرافی غیرمتمرکز Bunni قربانی یک سوءاستفاده شد و حدود 2.4 میلیون دلار استیبل‌کوین را پس از دست‌کاری محاسبات نقدینگی از دست داد، بر اساس داده‌های آن‌چین که توسط چند شرکت امنیتی وب۳ منتشر شده است.

تیم Bunni در روز سه‌شنبه در X تأیید کرد: «اپلیکیشن Bunni تحت تأثیر یک اکسپلویت امنیتی قرار گرفته است.» آنها افزودند: «به‌عنوان اقدام احتیاطی، همه توابع قرارداد هوشمند در تمام شبکه‌ها را متوقف کرده‌ایم. تیم ما در حال بررسی فعال است و به‌زودی به‌روزرسانی‌هایی منتشر خواهد کرد.»

این حمله قراردادهای هوشمند مبتنی بر اتریوم Bunni را هدف قرار داد. وجوه به آدرسی منتقل شد که در آن حدود 1.33 میلیون دلار در USDC و 1.04 میلیون دلار در USDT نگهداری می‌شد.

یکی از مشارکت‌کنندگان اصلی Bunni با شناسه @Psaul26ix از کاربران خواست هرچه سریع‌تر وجوه خود را از پلتفرم خارج کنند. او در X نوشت: «اگر پول روی Bunni دارید، فوراً آن را بردارید.»

Cointelegraph برای اظهار نظر با Bunni و Euler تماس گرفت اما تا زمان انتشار خبر پاسخی دریافت نکرد.

در حالی که بررسی فنی نهایی هنوز کامل نشده است، تحلیل اولیه توسعه‌دهندگان و پژوهشگران نشان می‌دهد مشکل از نحوه ری‌بالانس (rebalancing) نقدینگی در Bunni ناشی شده است. Bunni که روی Uniswap v4 ساخته شده است، به‌جای منطق پیش‌فرض Uniswap از مکانیزم سفارشی‌ای به نام Liquidity Distribution Function (LDF) استفاده می‌کند. این مکانیزم به Bunni اجازه می‌دهد تخصیص نقدینگی را در بازه‌های قیمتی بهینه‌سازی کند تا بازدهی تامین‌کنندگان نقدینگی افزایش یابد.

به گفته ویکتور تران، هم‌بنیان‌گذار KyberNetwork، مهاجم توانست منحنی LDF را با اجرای معاملات در اندازه‌های مشخصی دستکاری کند که منطق ری‌بالانس معیوب را فعال می‌کرد. تران در X نوشت: «اکسپلویت‌کننده فهمید می‌تواند این LDF را با انجام معاملات در اندازه‌های خیلی خاص دستکاری کند.» او افزود: «این مقادیر با دقت انتخاب‌شده باعث شد محاسبه ری‌بالانس شکست بخورد و نتیجه غلطی درباره سهم هر LP به‌دست آید.»

به نظر می‌رسد مهاجم این اکسپلویت را چند بار اجرا کرده و به‌صورت تدریجی وجوه پروتکل را خالی کرده بدون اینکه فوراً هشدارها را فعال کند.

در ماه آگوست، هکرها و کلاهبرداران رمزارزی بیش از 163 میلیون دلار را در 16 حادثه جداگانه به سرقت بردند که نشان‌دهنده افزایش 15 درصدی نسبت به 142 میلیون دلار در ماه جولای است. اگرچه این رقم نسبت به سال گذشته 47 درصد پایین‌تر است، اما افزایش حملات هدف‌مند در زمان برانگیختن حرکت بازارهای رمزارز نگران‌کننده است.

شرکت PeckShield و دیگر کارشناسان امنیت سایبری به تغییر راهبردی رفتار هکرها اشاره کردند؛ مهاجمان اکنون بیشتر روی صرافی‌های متمرکز و افراد دارای دارایی بالا تمرکز می‌کنند تا اهداف کوچک‌تر و غیرمتمرکز.

بزرگ‌ترین زیان در آگوست از یک حمله مهندسی اجتماعی بود، جایی که یک کاربر بیت کوین فریب داده شد تا 783 BTC (معادل حدود 91 میلیون دلار) را به مهاجمانی که خود را به‌عنوان نمایندگان پشتیبانی یک صرافی رمزارزی و سازنده کیف‌پول سخت‌افزاری جا زده بودند، ارسال کند.

تأثیر این رویداد بر بازار کریپتو

معامله‌گران و تامین‌کنندگان نقدینگی باید وضعیت قراردادهای Uniswap v4 و پروتکل‌های مبتنی بر LDF را زیرنظر داشته باشند، هشدارهای آن‌چین را فعال کنند و در صورت استفاده از Bunni یا استخرهای مشکوک، دارایی‌های خود را برداشت کنند. همچنین بررسی آدرس‌های مرتبط و گزارش‌دهی به شرکت‌های امنیتی می‌تواند به محدود کردن زیان کمک کند.