BunniXYZ pertukaran Ethereum mengalami pelanggaran senilai $2,3 juta

SourceCryptopolitan

2 Sept 2025 08:12

Saya menyaksikan secara langsung saat BunniXYZ dikuras kemarin. Hari lain, eksploitasi DeFi lainnya - kali ini dengan aliran keluar yang tidak sah sebesar sekitar $2,3 juta dari pertukaran Ethereum.

Peretasan tersebut menargetkan salah satu kontrak pintar BunniXYZ, dengan penyerang terutama menyerang cadangan stablecoin. CertiK dengan cepat memberikan peringatan:

#CertiKInsight 🚨

Kami telah mengidentifikasi exploit sebesar $2,3 juta pada kontrak BunniHub @bunni_xyz.

Penyerang telah mengekstrak dana ke 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b.

Tetap Waspada!

— CertiK Alert (@CertiKAlert) 2 September 2025

Melihat jejak transaksi, peretas menyerang brankas USDT dan USDC sebelum mengocok token melalui ekosistem Ethereum, akhirnya mengumpulkan kombinasi ETH dan stablecoin. BunniXYZ segera mengenali serangan tersebut dan menutup semua kontrak pintar, tetapi tidak sebelum kerusakan signifikan terjadi.

Pengeksploitasi terus menukar dana menjadi ETH melalui berbagai protokol DeFi setelahnya. Menariknya, mereka tidak segera mencampur atau menyembunyikan dana di luar langkah awal ini. Peretasan ini bergabung dengan tren yang semakin berkembang dari serangan “lebih kecil” di bawah $10M yang tetap menghancurkan protokol dan merusak kepercayaan pengguna.

Eksploitasi ini, seperti serangan BetterBank baru-baru ini, menimbulkan pertanyaan tentang kemungkinan keterlibatan orang dalam atau peretas Korea Utara yang menyuntikkan kode berbahaya ke dalam proyek Web3.

Mencapai puncak popularitas

BunniXYZ beroperasi di Ethereum dan Unichain, memanfaatkan teknologi Uniswap V4 untuk brankas khusus dengan aturan perdagangan yang kompleks. Waktu serangan tampaknya dihitung - menyerang tepat saat bursa mencapai puncak lokal nilai terkunci $60M .

Meskipun relatif baru ( diluncurkan Februari ), BunniXYZ telah menemukan ceruknya di antara protokol DeFi yang sedang berkembang. Agustus telah sangat sukses dengan lebih dari $1B dalam volume perdagangan. Pertukaran ini mengkhususkan diri dalam strategi likuiditas rehypothecation sambil menghindari likuidasi selama penurunan pasar, dengan koneksi ke Protokol Euler untuk menghasilkan pendapatan pasif.

Proyek tersebut telah memanfaatkan kesuksesan Uniswap V4, yang telah menarik lebih dari $393M ke dalam brankas Ethereum-nya dan $298M di Unichain.

Kerentanan teknis terungkap

Analisis pasca serangan mengungkapkan bahwa eksploitasi menargetkan kontrak perhitungan ulang likuiditas kustom BunniXYZ. Sambil menggunakan teknologi Uniswap V4 sebagai pengait likuiditas, BunniXYZ menerapkan Fungsi Distribusi Likuiditasnya sendiri alih-alih menggunakan perhitungan asli Uniswap.

Penyerang menemukan bahwa ukuran perdagangan tertentu dapat merusak fungsi ini, menyebabkan kontrak pintar melepaskan lebih banyak token daripada yang sebenarnya ada di kolam likuiditas. Beberapa transaksi diperlukan untuk mengumpulkan total $2,3 juta sebelum mengonversi ke ETH. Dana yang dicuri akhirnya mendarat di Aave, dengan dompet menunjukkan $1,33 juta dalam AethUSDC dan $1M dalam AethUSDT.

Meskipun audit sebelumnya, bug LDF ini kemungkinan muncul di versi yang lebih baru. Pelakunya yang paling mungkin? Kesalahan presisi yang memerlukan beberapa transaksi untuk dieksploitasi sepenuhnya melalui perhitungan ulang yang cacat.