去中心化交易所 Bunni 遭遇安全漏洞
去中心化交易所 Bunni 遭遇了一次安全漏洞,损失约 240 万美元 的稳定币。攻击者通过操纵平台的流动性计算实现了这一攻击,多家 Web3 安全公司提供的链上数据证实了这一点。Bunni 团队在周二通过社交媒体 X 确认:“Bunni 应用程序受到安全漏洞的影响。为了安全起见,我们已暂停所有网络上的智能合约功能。我们的团队正在积极调查,并将尽快提供更新。”
攻击细节与资金转移
此次攻击针对的是 Bunni 基于以太坊的智能合约,资金被转移至一个地址,该地址持有 133 万美元的 USDC 和 104 万美元的 USDt。Bunni 的核心贡献者呼吁用户尽快从平台上提取资金。他们在 X 上写道:“如果您在 Bunni 上有资金,请尽快取出。”
流动性管理与漏洞分析
Bunni 通过 Euler Finance 进行流动性渠道管理,Euler 是一个去中心化借贷平台,允许用户借贷和设计结构化的加密产品。针对此次漏洞,Euler 的联合创始人兼首席执行官 Michael Bentley 澄清,协议本身并未受到此次攻击的影响。广告 Cointelegraph 在发布时已联系 Bunni 和 Euler 寻求评论,但尚未收到回复。
关于 Bunni 如何成为攻击的受害者,虽然技术后期分析尚未完成,但开发者和研究人员的初步分析指出,Bunni 在处理流动性再平衡时存在缺陷。Bunni 基于 Uniswap v4 构建,采用了一种名为 流动性分配函数(LDF) 的自定义机制,而不是 Uniswap 的默认逻辑。该机制允许 Bunni 在价格区间内优化流动性分配,旨在提高流动性提供者的回报。
KyberNetwork 的联合创始人 Victor Tran 表示,攻击者能够通过执行特定大小的交易来操纵 LDF 曲线,从而触发错误的再平衡逻辑。他在 X 上写道:“攻击者发现他们可以通过进行特定大小的交易来操纵这个 LDF。这些精心选择的金额导致再平衡计算出现错误,给出每个流动性提供者应拥有的份额的错误结果。”
攻击频率与市场动态
攻击者似乎多次执行了这一漏洞,逐渐抽走了协议的资金,而没有立即引发警报。
在 8 月,黑客和诈骗者通过 16 起独立事件 盗取了超过 1.63 亿美元,较 7 月的 1.42 亿美元 增长了 15%。尽管这一数字同比下降了 47%,但随着加密市场的回暖,针对性的攻击有所上升。PeckShield 和其他网络安全专家指出,黑客行为发生了战略性转变,攻击者现在更关注中心化交易所和高价值个人,而不是较小的去中心化目标。8 月最大损失来自一起社交工程攻击,一名比特币用户被欺骗,将 783 BTC(价值 9100 万美元)发送给冒充加密交易所和硬件钱包提供商的支持代理的攻击者。
