去中心化交易所Bunni遭受漏洞攻击,据多家Web3安全公司的链上数据显示,攻击者操纵平台流动性计算后损失约240万美元稳定币。
"Bunni应用受到安全漏洞影响,"其团队周二在X上确认。"作为预防措施,我们已暂停所有网络上的智能合约功能。我们的团队正在积极调查,并将很快提供更新,"团队补充道。
攻击针对Bunni基于以太坊的智能合约。资金被抽走至一个持有133万美元USDC和104万美元USDT的地址。
Bunni核心贡献者@Psaul26ix要求用户尽快从平台提取资金。"如果你在Bunni有资金,请立即撤出,"他们在X上写道。
Bunni通过Euler Finance引导流动性,这是一个去中心化借贷平台,使用户能够借贷并设计结构化加密产品。鉴于此次漏洞,Euler联合创始人兼首席执行官Michael Bentley澄清,协议本身未受漏洞影响。
Cointelegraph已联系Bunni和Euler征求评论,但截至发稿时尚未收到回复。
Bunni如何遭受黑客攻击
虽然技术事后分析尚未完成,但开发者和研究人员的早期分析指向Bunni处理流动性再平衡方式的缺陷。
Bunni构建在Uniswap v4之上,使用名为流动性分配函数(LDF)的自定义机制,而非Uniswap的默认逻辑。该机制允许Bunni优化跨价格区间的流动性分配,旨在增加流动性提供者的回报。
据KyberNetwork联合创始人Victor Tran称,攻击者能够通过执行特定规模的交易来操纵LDF曲线,触发错误的再平衡逻辑。
"攻击者发现他们可以通过进行非常特定规模的交易来操纵这个LDF,"Tran在X上写道。"这些精心选择的金额导致再平衡计算出错,给出每个LP份额应拥有多少的错误结果,"他补充道。
攻击者似乎多次执行了该漏洞,逐渐抽干协议资金而没有立即触发警报。
8月加密黑客攻击超过1.63亿美元
8月,加密黑客和诈骗者在16起独立事件中窃取了超过1.63亿美元,较7月的1.42亿美元增长15%。虽然该数字同比仍下降47%,但反映了随着加密市场获得动力,定向攻击令人担忧的上升。
PeckShield和其他网络安全专家注意到黑客行为的战略转变,攻击者现在专注于中心化交易所和高价值个人,而非较小的去中心化目标。
8月最大的损失来自社会工程攻击,一名比特币持有者被诱骗向冒充加密交易所和硬件钱包提供商支持代理的攻击者发送783枚BTC(价值9100万美元)。