La plateforme d'échange BunniXYZ Ethereum subit une violation de 2,3 millions de dollars

SourceCryptopolitan

2 sept. 2025 08:12

J'ai regardé en temps réel alors que BunniXYZ était drainé hier. Un autre jour, une autre exploitation DeFi - cette fois avec des sorties non autorisées totalisant environ 2,3 millions de dollars de l'échange Ethereum.

Le piratage a ciblé l'un des contrats intelligents de BunniXYZ, l'attaquant visant principalement les réserves de stablecoins. CertiK a rapidement donné l'alerte :

#CertiKInsight 🚨

Nous avons identifié un exploit de 2,3 millions de dollars sur le contrat BunniHub de @bunni_xyz.

L'exploitant a exfiltré des fonds vers 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b.

Restez vigilant!

— Alerte CertiK (@CertiKAlert) 2 septembre 2025

En examinant la piste de transaction, le hacker a frappé les coffres USDT et USDC avant de mélanger les jetons à travers l'écosystème d'Ethereum, amassant finalement une combinaison d'ETH et de stablecoins. BunniXYZ a rapidement reconnu l'attaque et a fermé tous les contrats intelligents, mais pas avant que des dommages importants ne soient causés.

L'exploitant a continué à échanger des fonds en ETH via divers protocoles DeFi par la suite. Fait intéressant, ils n'ont pas immédiatement mélangé ou obscurci les fonds au-delà de ces mouvements initiaux. Ce hack rejoint une tendance croissante des attaques “plus petites” sous $10M qui dévastent toujours les protocoles et détruisent la confiance des utilisateurs.

Ces exploits, comme la récente attaque de BetterBank, soulèvent des questions sur un éventuel impliquation d'initiés ou des hackers nord-coréens injectant du code malveillant dans des projets Web3.

Frappé à son apogée de popularité

BunniXYZ opère sur Ethereum et Unichain, tirant parti de la technologie Uniswap V4 pour des coffres spécialisés avec des règles de trading complexes. Le moment de l'attaque semble calculé - frappant juste au moment où l'échange a atteint un pic local de $60M en valeur verrouillée.

Malgré le fait d'être relativement nouveau (lancé en février), BunniXYZ avait trouvé sa niche parmi les protocoles DeFi émergents. Août avait été particulièrement réussi avec plus de $1B de volume de trading. L'échange se spécialisait dans les stratégies de liquidité de réhypothèque tout en évitant les liquidations pendant les baisses du marché, avec des liens avec le protocole Euler pour la génération de revenus passifs.

Le projet avait profité du succès d'Uniswap V4, qui avait attiré plus de $393M dans ses coffres Ethereum et $298M sur Unichain.

Vulnérabilité technique exposée

L'analyse post-attaque a révélé que l'exploit visait le contrat de recalcul de liquidité personnalisé de BunniXYZ. En utilisant la technologie Uniswap V4 comme crochet de liquidité, BunniXYZ a mis en œuvre sa propre fonction de distribution de liquidité plutôt que d'utiliser les calculs natifs d'Uniswap.

L'attaquant a découvert que des tailles de transactions spécifiques pouvaient briser cette fonction, entraînant le contrat intelligent à libérer plus de tokens que ce qui existait réellement dans le pool de liquidités. Plusieurs transactions étaient nécessaires pour accumuler le montant total de 2,3 millions de dollars avant de convertir en ETH. Les fonds volés ont finalement atterri dans Aave, avec le portefeuille affichant 1,33 million de dollars en AethUSDC et $1M en AethUSDT.

Malgré les audits précédents, ce bug LDF est probablement apparu dans une version ultérieure. Le coupable le plus probable ? Une erreur de précision qui nécessitait plusieurs transactions pour être pleinement exploitée à travers des recalculs défectueux.

ETH-2.19%
USDC-0.01%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
0/400
Aucun commentaire
  • Épingler
Trader les cryptos partout et à tout moment
qrCode
Scan pour télécharger Gate app
Communauté
Français (Afrique)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)