Bursa Terdesentralisasi Bunni Menjadi Korban Eksploitasi
Bursa terdesentralisasi Bunni menjadi korban eksploitasi, kehilangan sekitar $2,4 juta dalam stablecoin setelah penyerang memanipulasi perhitungan likuiditas platform, menurut data on-chain dari beberapa perusahaan keamanan Web3. “Aplikasi Bunni telah terpengaruh oleh eksploitasi keamanan,” konfirmasi timnya di X pada hari Selasa. “Sebagai tindakan pencegahan, kami telah menghentikan semua fungsi kontrak pintar di semua jaringan. Tim kami sedang menyelidiki secara aktif dan akan memberikan pembaruan segera,” tambah tim tersebut.
Serangan ini menargetkan kontrak pintar berbasis Ethereum milik Bunni. Dana-dana tersebut ditransfer ke alamat yang memegang $1,33 juta dalam USDC dan $1,04 juta dalam USDt. Kontributor inti Bunni meminta pengguna untuk segera menarik dana dari platform. “Jika Anda memiliki uang di Bunni, tarik segera,” tulis mereka di X.
Bunni mengalirkan likuiditas melalui Euler Finance, sebuah platform pinjaman terdesentralisasi yang memungkinkan pengguna untuk meminjam, meminjamkan, dan merancang produk kripto terstruktur. Mengingat eksploitasi tersebut, salah satu pendiri dan CEO Euler, Michael Bentley, menjelaskan bahwa protokol itu sendiri tidak terpengaruh oleh eksploitasi tersebut. Cointelegraph telah menghubungi Bunni dan Euler untuk komentar, tetapi belum menerima tanggapan pada saat publikasi.
Bagaimana Bunni Menjadi Korban Peretasan
Sementara analisis teknis pasca-mortem masih belum lengkap, analisis awal dari pengembang dan peneliti menunjukkan adanya cacat dalam cara Bunni menangani penyeimbangan likuiditas. Bunni, yang dibangun di atas Uniswap v4, menggunakan mekanisme kustom yang disebut Fungsi Distribusi Likuiditas (LDF) alih-alih logika default Uniswap. Mekanisme ini memungkinkan Bunni untuk mengoptimalkan alokasi likuiditas di berbagai rentang harga, dengan tujuan meningkatkan pengembalian bagi penyedia likuiditas.
Menurut Victor Tran, salah satu pendiri KyberNetwork, penyerang mampu memanipulasi kurva LDF dengan melakukan perdagangan dengan ukuran tertentu yang memicu logika penyeimbangan yang salah. “Penyerang menemukan bahwa mereka dapat memanipulasi LDF ini dengan melakukan perdagangan dengan ukuran yang sangat spesifik,” tulis Tran di X. “Jumlah yang dipilih dengan hati-hati ini menyebabkan perhitungan penyeimbangan menjadi rusak, memberikan hasil yang salah tentang berapa banyak setiap LP yang seharusnya miliki,” tambahnya. Penyerang tampaknya telah melakukan eksploitasi ini beberapa kali, secara bertahap menguras dana protokol tanpa segera memicu alarm.
Peretasan Kripto Mencapai Lebih dari $163 Juta pada Bulan Agustus
Pada bulan Agustus, peretas dan penipu kripto mencuri lebih dari $163 juta dalam 16 insiden terpisah, menandai peningkatan 15% dari $142 juta pada bulan Juli. Meskipun angka ini masih 47% lebih rendah dibandingkan tahun lalu, hal ini mencerminkan peningkatan yang mengkhawatirkan dalam serangan yang ditargetkan seiring dengan momentum pasar kripto yang meningkat.
PeckShield dan para ahli keamanan siber lainnya mencatat adanya pergeseran strategis dalam perilaku peretas, dengan penyerang kini lebih fokus pada bursa terpusat dan individu bernilai tinggi, daripada target terdesentralisasi yang lebih kecil. Kerugian terbesar pada bulan Agustus berasal dari serangan rekayasa sosial, di mana seorang Bitcoiner ditipu untuk mengirim 783 BTC (senilai $91 juta) kepada penyerang yang berpura-pura sebagai agen dukungan dari bursa kripto dan penyedia dompet perangkat keras.
