Acryptoinvest.news: Ошибка в пользовательской логике ликвидности Bunni позволила злоумышленнику вывести около 2,4 млн долларов США в стейблкоинах, что заставило платформу приостановить все контракты.
По данным нескольких компаний по безопасности Web3, децентрализованная биржа Bunni стала жертвой эксплойта, в результате чего злоумышленники манипулировали расчетами ликвидности платформы и потеряли около 2,4 млн долларов США в стейблкоинах.
«Приложение Bunni подверглось атаке уязвимости безопасности», — подтвердила команда во вторник на сайте X. «В качестве меры предосторожности мы приостановили работу всех смарт-контрактов во всех сетях. Наша команда активно расследует проблему и вскоре опубликует обновления», — добавили в команде.
Атака была направлена на смарт-контракты Bunni на базе Ethereum. Средства были переведены на адрес, содержащий 1,33 млн долларов США в USDC (USD) и 1,04 млн долларов США в USDT.
Главный разработчик Bunni @Psaul26ix призвал пользователей как можно скорее вывести средства с платформы. «Если у вас есть деньги на Bunni, снимите их как можно скорее», — написал он в X.
Как Bunni стал жертвой взлома
Хотя техническая экспертиза еще не завершена, предварительный анализ, проведенный разработчиками и исследователями, указывает на изъян в том, как Bunni обрабатывает ребалансировку ликвидности.
Bunni, созданный на основе Uniswap v4, использует собственный механизм, называемый функцией распределения ликвидности (LDF), вместо стандартной логики Uniswap. Этот механизм позволяет Bunni оптимизировать распределение ликвидности в различных ценовых диапазонах, стремясь повысить доходность поставщиков ликвидности.
По словам Виктора Трана, соучредителя KyberNetwork, злоумышленник смог манипулировать кривой LDF, совершая сделки определенных размеров, которые запускали ошибочную логику перебалансировки.
«Exploiter понял, что может манипулировать этим LDF, совершая сделки очень конкретных размеров», — написал Тран в X. «Эти тщательно подобранные суммы привели к сбою расчета ребалансировки, дав неверные результаты относительно того, сколько акций должна принадлежать каждой LP», — добавил он.
Похоже, злоумышленник применил уязвимость несколько раз, постепенно опустошая средства протокола, не вызвав немедленного срабатывания сигнализации.
Читайте также: Взломы криптовалют в августе превысили 163 миллиона долларов
Еще больше новостей, в нашем Telegram канале @acryptoinvest_news
