分散型取引所Bunniのセキュリティ侵害
分散型取引所Bunniは、攻撃者がプラットフォームの流動性計算を操作した結果、約240万ドルのステーブルコインを失うという悪用の被害に遭ったと、複数のWeb3セキュリティ企業のオンチェーンデータが報告しています。
攻撃の詳細と影響
Bunniのチームは火曜日にXで、「Bunniアプリはセキュリティの悪用の影響を受けています。予防措置として、すべてのネットワークでのスマートコントラクト機能を一時停止しました。私たちのチームは現在、調査を行っており、すぐに更新情報を提供します」と確認しました。
攻撃はBunniのEthereumベースのスマートコントラクトを標的にし、資金は133万ドルのUSDCと104万ドルのUSDtを保持するアドレスに流出しました。Bunniのコア貢献者は、ユーザーに対してできるだけ早くプラットフォームから資金を引き出すよう求めました。「Bunniにお金がある場合は、できるだけ早く引き出してください」と彼らはXに書きました。
流動性提供の仕組みと攻撃の手法
Bunniは、ユーザーが借り入れ、貸し出し、構造化された暗号製品を設計できる分散型貸付プラットフォームであるEuler Financeを通じて流動性を提供しています。悪用を受けて、Eulerの共同創設者兼CEOのMichael Bentleyは、プロトコル自体は悪用の影響を受けていないことを明確にしました。
「Bunniが流動性のリバランスを処理する方法に欠陥があることを指摘しています。」
BunniはUniswap v4の上に構築されており、Uniswapのデフォルトロジックの代わりに流動性分配機能(LDF)というカスタムメカニズムを使用しています。このメカニズムにより、Bunniは価格範囲全体で流動性の配分を最適化し、流動性提供者のリターンを増加させることを目指しています。
KyberNetworkの共同創設者であるVictor Tranによると、攻撃者は特定のサイズの取引を実行することでLDF曲線を操作し、誤ったリバランスロジックを引き起こすことができました。「悪用者は、非常に特定のサイズの取引を行うことでこのLDFを操作できることを見抜きました」とTranはXに書きました。
暗号ハッキングの現状
攻撃者は、警報を即座に発動させることなく、プロトコルの資金を徐々に引き出すために悪用を複数回実行したようです。暗号ハッキングは8月に1億6300万ドルを超え、暗号ハッカーや詐欺師は16件の別々の事件で1億6300万ドル以上を盗み、7月の1億4200万ドルから15%の増加を記録しました。この数字は依然として前年同期比で47%低いものの、暗号市場が勢いを増す中で標的攻撃の増加を反映しています。
PeckShieldや他のサイバーセキュリティ専門家は、ハッカーの行動に戦略的な変化が見られ、攻撃者が小規模で分散型のターゲットではなく、中央集権型取引所や高価値の個人に焦点を当てるようになっていることを指摘しました。
8月の最大の損失は、ビットコイナーが暗号取引所とハードウェアウォレットプロバイダーのサポートエージェントを装った攻撃者に783 BTC(9100万ドル相当)を送信するように騙されたソーシャルエンジニアリング攻撃から来ました。
