BunniXYZイーサリアム取引所が2.3Mの侵害を受ける

ソースクリプトポリタン

2025年 9月 2日 08:12

私は昨日BunniXYZが drained されるのをリアルタイムで見ていました。別の日、別のDeFiの脆弱性 - 今回はEthereumの取引所から約$2.3Mの不正流出がありました。

このハッキングはBunniXYZのスマートコントラクトの1つを標的にし、攻撃者は主にステーブルコインの準備金を狙っていました。CertiKは迅速に警報を発しました:

🚨 > #CertiKInsight

@bunni_xyz の BunniHub コントラクトで 230 万ドルの exploit を確認しました。

搾取者は0xe04efd87f410e260cf940a3bcb8bc61f33464f2bに資金を流出させました。

警戒を怠るな!

— CertiK アラート (@CertiKAlert) 2025 年 9 月 2 日

取引の痕跡を見ると、ハッカーはUSDTとUSDCのボールトに攻撃を仕掛けた後、Ethereumのエコシステムを通じてトークンをシャッフルし、最終的にETHとステーブルコインの組み合わせを蓄積しました。BunniXYZは攻撃を迅速に認識し、すべてのスマートコントラクトを停止しましたが、かなりの損害が発生する前でした。

その悪用者は、その後さまざまなDeFiプロトコルを通じて資金をETHにスワップし続けました。興味深いことに、彼らはこれらの初期の動き以上に資金をすぐにミキシングしたり、隠蔽したりしませんでした。このハッキングは、まだプロトコルを壊し、ユーザーの信頼を破壊する「小規模な」攻撃の増加傾向に加わります。

これらの脆弱性、最近のBetterBank攻撃のように、潜在的な内部関与や北朝鮮のハッカーがWeb3プロジェクトに悪意のあるコードを注入している可能性について疑問を投げかけます。

$10M はピークの人気を博しました

BunniXYZはEthereumとUnichainで運営されており、複雑な取引ルールを持つ特化型ボールトのためにUniswap V4技術を活用しています。この攻撃のタイミングは計算されたようで、ちょうど取引所が###のロックされた価値の局所的なピークに達した時に襲っています。

比較的新しい$60M 年2月に立ち上げられたBunniXYZは、新興DeFiプロトコルの中でそのニッチを見つけました。8月は特に成功し、(の取引量を超えました。この取引所は、流動性戦略の再担保化を専門とし、市場の下落時に清算を回避しながら、パッシブインカム生成のためにEuler Protocolとの接続を持っています。

そのプロジェクトは、Ethereumのボールトに)を引き付け、Unichainで$1B を引き付けたUniswap V4の成功に乗っていました。

$393M 技術的な脆弱性が明らかになった

攻撃後の分析により、エクスプロイトがBunniXYZのカスタム流動性再計算契約を標的にしていたことが明らかになりました。BunniXYZは流動性フックとしてUniswap V4技術を使用している間に、Uniswapのネイティブ計算を使用するのではなく、自身の流動性配分機能を実装しました。

攻撃者は、特定の取引サイズがこの機能を破壊できることを発見し、スマートコントラクトが流動性プールに実際に存在する以上のトークンをリリースする原因となりました。ETHに変換する前に、合計$2.3Mを蓄積するために複数の取引が必要でした。盗まれた資金は最終的にAaveに到達し、ウォレットには$1.33MのAethUSDCと$298M のAethUSDTが表示されていました。

以前の監査にもかかわらず、このLDFバグは後のバージョンに現れた可能性が高い。最も可能性のある犯人は？不完全な再計算を通じて完全に悪用するために複数の取引を必要とする精度エラーである。