Eksploitasi Protokol Keuangan Terdesentralisasi Bunni
Protokol keuangan terdesentralisasi Bunni mengalami eksploitasi senilai $8,4 juta pada 2 September, setelah seorang penyerang yang canggih memanfaatkan pinjaman kilat untuk memanipulasi kolam likuiditas di Ethereum dan Unichain. Insiden ini menargetkan kolam weETH/ETH dan USDC/USDT, yang disebabkan oleh cacat dalam logika kontrak pintar Bunni yang melibatkan kesalahan pembulatan.
Rincian Eksploitasi
Menurut laporan pasca-mortem Bunni, eksploitasi dilakukan dalam tiga tahap. Penyerang pertama-tama meminjam 3 juta USDT melalui pinjaman kilat, kemudian menggunakannya untuk memanipulasi harga spot kolam USDC/USDT ke tingkat ekstrem. Dengan saldo USDC aktif di kolam yang berkurang menjadi hanya 28 wei, penyerang melakukan 44 penarikan kecil. Ini mengeksploitasi kesalahan pembulatan dalam kode Bunni, yang secara tidak proporsional menurunkan likuiditas kolam lebih dari 84%.
Dengan likuiditas yang ditekan secara artifisial, penyerang melakukan serangan sandwich, melakukan pertukaran besar yang mendorong harga ke nilai yang terdistorsi. Setelah membalikkan pengurangan likuiditas sebelumnya, mereka mengekstrak keuntungan sebelum membayar kembali pinjaman kilat. Secara total, eksploitasi ini menghasilkan sekitar 1,33 juta USDC dan 1 juta USDT untuk penyerang.
Penyelidikan dan Tindakan Selanjutnya
Perusahaan keamanan blockchain Cyfrin mengonfirmasi bahwa kerentanan tersebut berasal dari cara kontrak pintar Bunni membulatkan saldo selama penarikan. Meskipun mekanisme tersebut dirancang untuk mengutamakan keamanan kolam dengan meremehkan likuiditas, penarikan kecil yang berulang menciptakan kondisi yang memungkinkan logika pembulatan dieksploitasi secara besar-besaran.
Bunni mencatat bahwa kolam terbesarnya, pasangan USDC/USD₮0 dari Unichain, terhindar dari eksploitasi karena likuiditas pinjaman kilat yang tidak mencukupi untuk melakukan serangan.
Bunni mengonfirmasi bahwa aset yang dicuri kini terpecah di dua dompet yang terhubung dengan penyerang. Penyelidik melacak asal-usul dana tetapi menemui jalan buntu setelah menemukan bahwa dompet tersebut didanai melalui Tornado Cash, alat privasi yang dikenakan sanksi. Tim telah menghubungi penyerang secara langsung di rantai, menawarkan hadiah 10% sebagai imbalan untuk mengembalikan dana yang tersisa.
Reaksi dan Perbaikan
Segera setelah itu, Bunni menghentikan semua operasi tetapi sejak itu telah mengaktifkan kembali penarikan untuk memungkinkan penyedia likuiditas memulihkan setoran mereka. Setoran dan pertukaran tetap dibekukan sementara pengembang bekerja pada perbaikan. Mengubah arah pembulatan dari fungsi yang terpengaruh menetralkan vektor eksploitasi saat ini, meskipun tim mengakui bahwa pengujian yang lebih luas dan perbaikan keamanan diperlukan sebelum membuka kembali sepenuhnya.
Bunni, yang dioperasikan oleh tim beranggotakan enam orang, menyatakan tetap berkomitmen untuk melanjutkan pengembangan meskipun mengalami kemunduran. Protokol ini memperkenalkan konsep baru seperti Fungsi Kepadatan Likuiditas (LDF), yang diklaim tim mewakili generasi baru pembuat pasar otomatis. “Kami menghabiskan bertahun-tahun membangun Bunni karena kami percaya ini adalah masa depan AMM,” kata tim dalam pernyataannya, sambil berjanji untuk memperkuat basis kode dan kerangka pengujian untuk mencegah serangan serupa.
Agustus: Bulan Terburuk untuk Keamanan Crypto
Agustus menandai bulan terburuk ketiga untuk keamanan crypto dengan kerugian $163 juta akibat peretasan dan penipuan. Bunni, yang pernah memiliki lebih dari $80 juta dalam total nilai terkunci (TVL) di BNB Chain, kini hanya memegang sedikit di atas $50 juta setelah eksploitasi.
Insiden ini menambah rangkaian serangan dan penipuan yang menghantam sektor ini. Hanya sehari sebelumnya, seorang pengguna Venus Protocol kehilangan $13,5 juta dalam penipuan phishing. Menurut perusahaan keamanan blockchain PeckShield, korban tanpa sadar menyetujui transaksi jahat, memberikan izin token yang memungkinkan pencurian.
Meskipun laporan awal menunjukkan $27 juta telah dikuras, analisis selanjutnya menunjukkan bahwa posisi utang secara keliru termasuk dalam angka tersebut. Venus menekankan bahwa kontrak pintarnya tetap aman dan mengonfirmasi bahwa hanya pengguna yang terkompromi.
Insiden ini mengikuti lonjakan eksploitasi terkait crypto pada bulan Agustus, dengan data PeckShield menunjukkan $163 juta dicuri dalam 16 serangan besar, naik dari $142 juta pada bulan Juli. Kerugian tersebut menjadikan Agustus sebagai bulan terburuk ketiga untuk keamanan crypto pada tahun 2025.
Pencurian tunggal terbesar terjadi pada 19 Agustus, ketika seorang pemegang Bitcoin kehilangan 783 BTC, senilai $91,4 juta, dalam skema rekayasa sosial. Penyerang diduga berpura-pura sebagai staf dukungan dompet perangkat keras untuk mendapatkan kredensial sensitif sebelum mencuci dana melalui Wasabi Wallet.
Bursa Turki BtcTurk juga terkena dampak, kehilangan $54 juta dalam pelanggaran dompet panas multi-rantai di tujuh jaringan blockchain. Insiden ini membawa total kerugian kumulatifnya menjadi lebih dari $100 juta setelah peretasan sebelumnya pada bulan Juni 2024.
Kasus-kasus notable lainnya termasuk kerugian $7 juta ODIN•FUN, eksploitasi $5 juta BetterBank.io, dan keruntuhan $4,5 juta CrediX Finance, yang berubah menjadi penipuan keluar setelah pengembang meninggalkan proyek. Dengan phishing, kerentanan bursa, dan penipuan keluar yang menyebabkan kerugian yang semakin meningkat, Agustus menyoroti bagaimana baik cacat teknis maupun kesalahan manusia terus menghantui industri crypto.
