Pag-atake sa Bunni: Isang Pagsasamantala sa Decentralized Exchange
Ang decentralized exchange na Bunni ay naging biktima ng isang pagsasamantala, na nagresulta sa pagkawala ng humigit-kumulang $2.4 milyon sa stablecoins matapos manipulahin ng mga umaatake ang mga kalkulasyon ng liquidity ng platform, ayon sa on-chain data mula sa iba’t ibang Web3 security firms.
“Kinumpirma ng aming team sa X noong Martes na ang Bunni app ay naapektuhan ng isang security exploit. Bilang pag-iingat, itinigil namin ang lahat ng smart contract functions sa lahat ng networks. Aktibo ang aming team sa pagsasagawa ng imbestigasyon at magbibigay kami ng mga update sa lalong madaling panahon,” dagdag pa ng team.
Ang atake ay nakatuon sa mga Ethereum-based smart contracts ng Bunni, kung saan ang mga pondo ay naubos sa isang address na naglalaman ng $1.33 milyon sa USDC at $1.04 milyon sa USDt. Hinihimok ng pangunahing contributor ng Bunni ang mga gumagamit na bawiin ang kanilang mga pondo mula sa platform sa lalong madaling panahon.
“Kung mayroon kang pera sa Bunni, alisin ito ASAP,” isinulat nila sa X.
Ang Bunni ay nag-channel ng liquidity sa pamamagitan ng Euler Finance, isang decentralized lending platform na nagbibigay-daan sa mga gumagamit na manghiram, magpautang, at magdisenyo ng mga structured crypto products. Sa kabila ng pagsasamantala, nilinaw ng co-founder at CEO ng Euler na si Michael Bentley na ang protocol mismo ay nananatiling hindi naapektuhan ng exploit.
Paano Naging Biktima ng Hack ang Bunni
Habang ang isang teknikal na post-mortem ay hindi pa kumpleto, ang maagang pagsusuri mula sa mga developer at mananaliksik ay nagpapakita ng isang depekto sa kung paano hinahawakan ng Bunni ang liquidity rebalancing. Ang Bunni, na itinayo sa ibabaw ng Uniswap v4, ay gumagamit ng isang custom na mekanismo na tinatawag na Liquidity Distribution Function (LDF) sa halip na ang default na lohika ng Uniswap.
Ang mekanismong ito ay nagbibigay-daan sa Bunni na i-optimize ang alokasyon ng liquidity sa iba’t ibang saklaw ng presyo, na naglalayong pataasin ang mga kita para sa mga liquidity providers. Ayon kay Victor Tran, co-founder ng KyberNetwork, nagawa ng umaatake na manipulahin ang LDF curve sa pamamagitan ng pagsasagawa ng mga trade ng mga tiyak na sukat na nag-trigger ng maling lohika ng rebalancing.
“Nalaman ng exploiter na maaari nilang manipulahin ang LDF na ito sa pamamagitan ng paggawa ng mga trade ng napaka-tiyak na sukat,” isinulat ni Tran sa X. “Ang mga maingat na piniling halaga na ito ay nagdulot ng pagkasira ng kalkulasyon ng rebalancing, na nagbigay ng maling resulta kung gaano karaming LP share ang dapat pagmamay-ari ng bawat isa,” dagdag pa niya.
Ang umaatake ay tila nagsagawa ng exploit ng maraming beses, unti-unting inubos ang mga pondo ng protocol nang hindi agad nag-trigger ng mga alarma.
Ang Pagtaas ng mga Crypto Hack
Noong Agosto, ang mga hacker at scammer sa crypto ay nagnakaw ng higit sa $163 milyon sa 16 na magkakahiwalay na insidente, na nagmarka ng 15% na pagtaas mula sa $142 milyon noong Hulyo. Bagaman ang figure ay 47% na mas mababa taon-taon, ito ay nagpapakita ng nakababahalang pagtaas sa mga targeted na atake habang ang mga merkado ng crypto ay nakakakuha ng momentum.
Napansin ng PeckShield at iba pang mga eksperto sa cybersecurity ang isang estratehikong pagbabago sa pag-uugali ng mga hacker, kung saan ang mga umaatake ay nakatuon ngayon sa mga centralized exchanges at mga indibidwal na may mataas na halaga, sa halip na mas maliliit, decentralized na target. Ang pinakamalaking pagkawala noong Agosto ay nagmula sa isang social engineering attack, kung saan ang isang Bitcoiner ay naloko na magpadala ng 783 BTC (na nagkakahalaga ng $91 milyon) sa mga umaatake na nagpapanggap bilang mga support agents mula sa isang crypto exchange at hardware wallet provider.
