BunniXYZ Ethereum borsası 2.3M dolarlık ihlal yaşadı

SourceCryptopolitan

2 Eyl 2025 08:12

Dün BunniXYZ'nin boşaltıldığını gerçek zamanlı olarak izledim. Başka bir gün, başka bir DeFi istismarı - bu sefer Ethereum borsasından toplamda yaklaşık 2,3 milyon dolarlık yetkisiz çıkışlarla.

Hack, BunniXYZ'nin akıllı sözleşmelerinden birini hedef aldı ve saldırgan esas olarak stabilcoin rezervlerine yöneldi. CertiK alarmı hızla çaldı:

#CertiKInsight 🚨

@bunni_xyz BunniHub sözleşmesinde 2.3M $'lık bir açığı tespit ettik.

Sömürgen, fonları 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b adresine dışarıya aktardı.

Dikkatli Olun!

— CertiK Alert (@CertiKAlert) 2 Eylül 2025

İşlem izini incelediğimizde, hacker'ın USDT ve USDC kasalarına saldırdığını, ardından token'ları Ethereum'un ekosisteminde karıştırarak nihayetinde ETH ve stabilcoin kombinasyonu topladığını görüyoruz. BunniXYZ saldırıyı hızla fark etti ve tüm akıllı sözleşmeleri kapattı, ancak önemli bir hasar verilmeden önce değil.

Sömürücü, daha sonra çeşitli DeFi protokolleri aracılığıyla fonları ETH'ye dönüştürmeye devam etti. İlginç bir şekilde, bu ilk hamlelerin ötesinde fonları hemen karıştırmadılar veya belirsiz hale getirmediler. Bu hack, $10M altında hâlâ protokollere zarar veren ve kullanıcı güvenini yok eden “daha küçük” saldırıların artan bir trendine katılıyor.

Bu saldırılar, son BetterBank saldırısı gibi, olası içeriden müdahale veya Kuzey Koreli hackerların Web3 projelerine kötü amaçlı kod enjekte etmesi hakkında sorular gündeme getiriyor.

Zirve popülaritesinde çarptı

BunniXYZ, Ethereum ve Unichain üzerinde faaliyet göstererek, karmaşık ticaret kurallarına sahip özel cüzdanlar için Uniswap V4 teknolojisini kullanmaktadır. Saldırının zamanlaması hesaplanmış gibi görünüyor - borsa, $60M kilitli değere ulaşır ulaşmaz vuruyor.

Göreceli olarak yeni olmasına rağmen ( Şubat)'da piyasaya sürülen BunniXYZ, ortaya çıkan DeFi protokolleri arasında kendine bir yer edinmişti. Ağustos ayı, $1B 'den fazla ticaret hacmi ile özellikle başarılı geçti. Borsa, piyasa düşüşleri sırasında tasfiye olmaktan kaçınırken rehypothecation likidite stratejilerine odaklanmıştı ve pasif gelir üretimi için Euler Protokolü ile bağlantılar kurmuştu.

Proje, Uniswap V4'ün başarısını sürdürüyordu, bu da $393M 'in Ethereum kasalarına ve $298M 'in Unichain'de çekilmesine neden oldu.

Teknik zayıflık açığa çıktı

Saldırı sonrası analiz, istismarın BunniXYZ'nin özel likidite yeniden hesaplama sözleşmesini hedef aldığını ortaya koydu. BunniXYZ, likidite halkası olarak Uniswap V4 teknolojisini kullanırken, Uniswap'ın yerel hesaplamalarını kullanmak yerine kendi Likidite Dağıtım Fonksiyonunu uyguladı.

Saldırgan, belirli ticaret büyüklüklerinin bu işlevi kırabileceğini keşfetti ve akıllı sözleşmenin likidite havuzunda mevcut olandan daha fazla token serbest bırakmasına neden oldu. ETH'ye dönüştürmeden önce toplam 2.3M $ biriktirmek için birden fazla işlem yapıldı. Çalınan fonlar nihayet Aave'de yer aldı ve cüzdan AethUSDC'de 1.33M $ ve AethUSDT'de $1M gösterdi.

Önceki denetimlere rağmen, bu LDF hatası muhtemelen daha sonraki bir sürümde ortaya çıktı. En olası suçlu? Kusurlu yeniden hesaplamalar yoluyla tam olarak istismar edilmesi gereken bir hassasiyet hatası.