Ang Bunni Exploit
Ang decentralized finance protocol na Bunni ay nakaranas ng $8.4 milyon na exploit noong Setyembre 2, matapos gamitin ng isang sopistikadong attacker ang isang flash loan upang manipulahin ang liquidity pools sa parehong Ethereum at Unichain. Ang insidente, na tumarget sa weETH/ETH at USDC/USDT pools, ay iniuugnay sa isang depekto sa lohika ng smart contract ng Bunni na may kinalaman sa rounding errors.
Mga Yugto ng Exploit
Ayon sa post-mortem ng Bunni, ang exploit ay isinagawa sa tatlong yugto. Una, nanghiram ang attacker ng 3 milyong USDT sa pamamagitan ng isang flash loan, gamit ito upang manipulahin ang spot price ng USDC/USDT pool sa mga ekstremong antas. Sa aktibong USDC balance ng pool na nabawasan sa 28 wei, nagsimula ang exploiter ng 44 na maliliit na withdrawals. Ito ay nag-exploit ng isang rounding error sa code ng Bunni, na hindi proporsyonal na nagbawas ng liquidity ng pool ng higit sa 84%.
Sandwich Attack at Kita
Sa artipisyal na pinigilang liquidity, isinagawa ng attacker ang isang sandwich attack, na nagpatupad ng malalaking swaps na nagtulak sa mga presyo sa mga baluktot na halaga. Sa pamamagitan ng pagbaligtad sa naunang pagbawas ng liquidity, nakakuha sila ng kita bago bayaran ang flash loan. Sa kabuuan, ang exploit ay nagbigay ng humigit-kumulang 1.33 milyong USDC at 1 milyong USDT para sa attacker.
Kahinaan ng Smart Contract
Kinumpirma ng blockchain security firm na Cyfrin na ang kahinaan ay nagmula sa kung paano ang smart contract ng Bunni ay nag-round ng mga balanse sa panahon ng withdrawals. Habang ang mekanismo ay dinisenyo upang paboran ang kaligtasan ng pool sa pamamagitan ng hindi pagtantiya ng liquidity, ang paulit-ulit na maliliit na withdrawals ay lumikha ng mga kondisyon na nagbigay-daan sa rounding logic na ma-exploit sa malaking sukat.
Mga Hakbang ng Bunni
Itinuro ng Bunni na ang pinakamalaking pool nito, ang USDC/USD₮0 pair ng Unichain, ay nakaligtas dahil sa kakulangan ng flash-loan liquidity na magagamit upang magsagawa ng atake. Ang pag-exploit sa pool na iyon ay mangangailangan ng humigit-kumulang $17 milyon sa mga hiniram na asset, ngunit tanging $11 milyon lamang ang magagamit sa mga lending venues sa oras na iyon.
Pagsubok at Pagbawi
Kinumpirma ng Bunni na ang mga ninakaw na asset ay nahahati na ngayon sa dalawang wallets na konektado sa attacker. Sinubukan ng mga imbestigador na subaybayan ang pinagmulan ng mga pondo ngunit huminto sa isang dead end matapos matuklasan na ang mga wallets ay pinondohan sa pamamagitan ng Tornado Cash, isang sanctioned privacy tool. Nakipag-ugnayan ang team sa exploiter nang direkta sa on-chain, nag-aalok ng 10% bounty kapalit ng pagbabalik ng natitirang mga pondo.
Mga Imbestigasyon at Seguridad
Ang mga centralized exchanges ay naabisuhan din upang maiwasan ang anumang sinubukang off-ramps, habang ang mga awtoridad ay nakipag-ugnayan upang ituloy ang mga opsyon sa pagbawi. Sa agarang aftermath, itinigil ng Bunni ang lahat ng operasyon ngunit muling pinagana ang mga withdrawals upang payagan ang mga liquidity providers na mabawi ang kanilang mga deposito. Ang mga deposito at swaps ay nananatiling nakapigil habang nagtatrabaho ang mga developer sa isang solusyon.
Pagpapabuti sa Seguridad
Ang pagbabago ng direksyon ng rounding ng apektadong function ay nag-neutralize sa kasalukuyang exploit vector, bagaman kinilala ng team na kinakailangan ang mas malawak na pagsubok at mga pagpapabuti sa seguridad bago ganap na muling buksan. Ang Bunni, na pinapatakbo ng isang anim na tao na team, ay nagsabi na nananatili silang nakatuon sa pagpapatuloy ng pag-unlad sa kabila ng setback.
Bagong Konsepto at Hinaharap
Ang protocol ay nagpakilala ng mga bagong konsepto tulad ng Liquidity Density Functions (LDFs), na sinasabi ng team na kumakatawan sa isang bagong henerasyon ng automated market makers.
“Gumugol kami ng mga taon sa pagbuo ng Bunni dahil naniniwala kami na ito ang hinaharap ng AMMs,”
sabi ng team sa kanilang pahayag, habang nangangako na palakasin ang kanilang codebase at mga testing frameworks upang maiwasan ang mga katulad na atake.
Pagtaas ng mga Hacks at Scams
Agosto Itinatampok ang Ikatlong Pinakamasamang Buwan para sa Seguridad ng Crypto habang $163M ang Nawawala sa mga Hacks at Scams. Ang Bunni, na dati ay may higit sa $80 milyon sa kabuuang halaga na naka-lock (TVL) sa BNB Chain, ay ngayon ay humahawak ng higit sa $50 milyon kasunod ng exploit. Ang insidente ay nagdagdag sa isang serye ng mga atake at scams na humahampas sa sektor.
Mga Kaganapan sa Venus Protocol
Isang araw bago nito, isang gumagamit ng Venus Protocol ang nawalan ng $13.5 milyon sa isang phishing scam. Ayon sa blockchain security firm na PeckShield, ang biktima ay hindi sinasadyang inaprubahan ang isang mapanlinlang na transaksyon, na nagbigay ng mga pahintulot sa token na nagbigay-daan sa pagnanakaw. Habang ang mga paunang ulat ay nagmungkahi na $27 milyon ang naubos, ang mga sumunod na pagsusuri ay nagpakita na ang mga posisyon ng utang ay hindi sinasadyang isinama sa figure.
Pagtaas ng Crypto-Related Exploits
Binibigyang-diin ng Venus na ang kanilang mga smart contracts ay nananatiling ligtas at kinumpirma na tanging ang gumagamit ang na-kompromiso. Ang insidente ay sinundan ng pagtaas sa mga crypto-related exploits noong Agosto, na may data mula sa PeckShield na nagpapakita ng $163 milyon na ninakaw sa 16 na pangunahing atake, mula sa $142 milyon noong Hulyo. Ang mga pagkalugi ay nagpasikat sa Agosto bilang ikatlong pinakamasamang buwan para sa seguridad ng crypto noong 2025.
Pinakamalaking Pagnanakaw
Ang pinakamalaking solong pagnanakaw ay naganap noong Agosto 19, nang ang isang Bitcoin holder ay nawalan ng 783 BTC, na nagkakahalaga ng $91.4 milyon, sa isang social engineering scheme. Ang mga attacker ay diumano’y nagkunwaring mga tauhan ng suporta para sa hardware wallet upang makuha ang mga sensitibong kredensyal bago ilabas ang mga pondo sa pamamagitan ng Wasabi Wallet.
Mga Kaso ng Pagkalugi
Ang Turkish exchange na BtcTurk ay tinamaan din, nawawalan ng $54 milyon sa isang multi-chain hot wallet breach sa pitong blockchain networks. Ang insidente ay nagdala ng kabuuang pagkalugi nito sa higit sa $100 milyon kasunod ng isang naunang hack noong Hunyo 2024.
Ang iba pang mga kapansin-pansing kaso ay kinabibilangan ng $7 milyon na pagkalugi ng ODIN•FUN, $5 milyon na exploit ng BetterBank.io, at $4.5 milyon na pagbagsak ng CrediX Finance, na naging isang exit scam matapos iwanan ng mga developer ang proyekto.
Konklusyon
Sa pagtaas ng phishing, mga kahinaan sa exchange, at mga exit scam na nagdudulot ng lumalaking pagkalugi, pinatunayan ng Agosto kung paano ang parehong mga teknikal na depekto at pagkakamali ng tao ay patuloy na nagpapahirap sa industriya ng crypto.
