การโจมตีของการแลกเปลี่ยนแบบกระจายศูนย์ Bunni
การแลกเปลี่ยนแบบกระจายศูนย์ Bunni ได้ตกเป็นเหยื่อของการโจมตี ทำให้สูญเสียเงินประมาณ 2.4 ล้านดอลลาร์ ใน stablecoins หลังจากที่ผู้โจมตีได้ปรับเปลี่ยนการคำนวณสภาพคล่องของแพลตฟอร์ม ตามข้อมูล on-chain จากบริษัทความปลอดภัย Web3 หลายแห่ง
การตอบสนองของทีมงาน Bunni
ทีมงานของ Bunni ยืนยันใน X เมื่อวันอังคารว่า “แอป Bunni ได้รับผลกระทบจากการโจมตีด้านความปลอดภัย” และ “เพื่อเป็นการป้องกัน เราได้หยุดฟังก์ชันสัญญาอัจฉริยะทั้งหมดในทุกเครือข่าย ทีมงานของเรากำลังตรวจสอบสถานการณ์และจะให้ข้อมูลอัปเดตในเร็วๆ นี้”
รายละเอียดการโจมตี
การโจมตีมุ่งเป้าไปที่สัญญาอัจฉริยะที่สร้างขึ้นบน Ethereum ของ Bunni เงินถูกดึงไปยังที่อยู่ที่ถือเงิน 1.33 ล้านดอลลาร์ ใน USDC และ 1.04 ล้านดอลลาร์ ใน USDT ผู้มีส่วนร่วมหลักของ Bunni ขอให้ผู้ใช้ถอนเงินจากแพลตฟอร์มโดยเร็ว
“หากคุณมีเงินใน Bunni ให้ถอนออกโดยเร็วที่สุด” พวกเขาเขียนใน X
การเชื่อมโยงกับ Euler Finance
Bunni เชื่อมโยงสภาพคล่องผ่าน Euler Finance ซึ่งเป็นแพลตฟอร์มการให้กู้ยืมแบบกระจายศูนย์ที่ช่วยให้ผู้ใช้สามารถกู้ยืม ให้ยืม และออกแบบผลิตภัณฑ์คริปโตที่มีโครงสร้าง ในแง่ของการโจมตี Michael Bentley ผู้ร่วมก่อตั้งและ CEO ของ Euler ชี้แจงว่าโปรโตคอลเองไม่ได้รับผลกระทบจากการโจมตีดังกล่าว
วิธีที่ Bunni ตกเป็นเหยื่อ
แม้ว่าการวิเคราะห์ทางเทคนิคจะยังไม่เสร็จสมบูรณ์ แต่การวิเคราะห์เบื้องต้นจากนักพัฒนาและนักวิจัยชี้ให้เห็นถึงข้อบกพร่องในวิธีที่ Bunni จัดการการปรับสมดุลสภาพคล่อง Bunni ซึ่งสร้างขึ้นบน Uniswap v4 ใช้กลไกที่กำหนดเองเรียกว่า Liquidity Distribution Function (LDF) แทนที่จะใช้ตรรกะเริ่มต้นของ Uniswap
กลไกนี้ช่วยให้ Bunni สามารถเพิ่มประสิทธิภาพการจัดสรรสภาพคล่องในช่วงราคาต่างๆ โดยมุ่งหวังที่จะเพิ่มผลตอบแทนให้กับผู้ให้สภาพคล่อง
ตามที่ Victor Tran ผู้ร่วมก่อตั้ง KyberNetwork กล่าวว่า ผู้โจมตีสามารถปรับเปลี่ยนเส้นโค้ง LDF ได้โดยการดำเนินการซื้อขายขนาดเฉพาะที่กระตุ้นตรรกะการปรับสมดุลที่ผิดพลาด
“ผู้โจมตีค้นพบว่าพวกเขาสามารถปรับเปลี่ยน LDF นี้ได้โดยการทำการซื้อขายในขนาดที่เฉพาะเจาะจงมาก” Tran เขียนใน X “จำนวนที่เลือกอย่างระมัดระวังเหล่านี้ทำให้การคำนวณการปรับสมดุลผิดพลาด ส่งผลให้ได้ผลลัพธ์ที่ผิดสำหรับจำนวนที่แต่ละ LP ควรเป็นเจ้าของ” เขาเสริม
แนวโน้มการโจมตีในตลาดคริปโต
ผู้โจมตีดูเหมือนจะดำเนินการโจมตีหลายครั้ง ค่อยๆ ดึงเงินทุนของโปรโตคอลโดยไม่ทำให้เกิดการเตือนภัยในทันที การโจมตีคริปโตสูงถึง 163 ล้านดอลลาร์ ในเดือนสิงหาคม
ในเดือนสิงหาคม แฮกเกอร์และนักต้มตุ๋นในคริปโตได้ขโมยเงินมากกว่า 163 ล้านดอลลาร์ จากเหตุการณ์แยกกัน 16 เหตุการณ์ ซึ่งเพิ่มขึ้น 15% จาก 142 ล้านดอลลาร์ ในเดือนกรกฎาคม
แม้ว่าตัวเลขนี้จะยังต่ำกว่าปีต่อปีถึง 47% แต่ก็สะท้อนให้เห็นถึงการเพิ่มขึ้นที่น่ากังวลในเหตุการณ์โจมตีที่มุ่งเป้าไปที่ตลาดคริปโตที่กำลังเติบโต
PeckShield และผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์คนอื่นๆ ได้สังเกตเห็นการเปลี่ยนแปลงเชิงกลยุทธ์ในพฤติกรรมของแฮกเกอร์ โดยผู้โจมตีมุ่งเน้นไปที่การแลกเปลี่ยนแบบรวมศูนย์และบุคคลที่มีมูลค่าสูง แทนที่จะเป็นเป้าหมายที่เล็กกว่าและกระจายศูนย์
การสูญเสียที่ใหญ่ที่สุดในเดือนสิงหาคมมาจากการโจมตีทางสังคมวิศวกรรม ซึ่งผู้ใช้ Bitcoin ถูกหลอกให้ส่ง 783 BTC (มูลค่า 91 ล้านดอลลาร์) ไปยังผู้โจมตีที่แอบอ้างเป็นตัวแทนสนับสนุนจากการแลกเปลี่ยนคริปโตและผู้ให้บริการกระเป๋าเงินฮาร์ดแวร์
