Uniswap "Hooked" Exchange Bunni è stato violato e ha perso più di $ 8,4 milioni

Secondo ChainCatcher, un altro incidente di sicurezza si è verificato nel campo della finanza decentralizzata (DEFI) e lo scambio di Bunni, costruito su UnisWAP, è stato violato e perso $ 8,4 milioni. Secondo il sito Web ufficiale di Bunni, l'applicazione mira a "massimizzare i profitti dei fornitori di liquidità in tutte le condizioni di mercato", ma le perdite di oggi sono controfagi. Notizie precedenti, secondo il monitoraggio del contratto di auditing di sicurezza Crypto BlockSec PhalCon (@phalcon_xyz), è stata trovata una transazione sospetta contro il contratto Bunni Protocol (@Bunni_XYZ) sulla rete Ethereum, causando una perdita di circa $ 2,3 milioni. Circa due ore dopo, il team Bunni ha ammesso l'incidente e ha sospeso i suoi contratti su tutte le reti. Successivamente, ulteriori società di revisione sono intervenute nelle indagini e hanno scoperto che oltre alla perdita di $ 2,3 milioni sulla rete Ethereum, la rete UNICHAIN ​​ha perso anche $ 6 milioni, con una perdita totale di $ 8,4 milioni. L'attacco sembra essere correlato alla vulnerabilità di accuratezza nella curva di "Funzione di allocazione della liquidità" della piattaforma. L'hacker manipola la funzione attraverso una scala di transazione attentamente progettata, con conseguente errore di calcolo di riequilibrio, calcolando erroneamente la quota che ciascun fornitore di liquidità dovrebbe trattenere. Gli hacker hanno ripetuto il processo, estraendo i token LP in eccesso, esaurendo il pool di liquidità di Bunni. Sebbene la base di codice di Bunni sia stata verificata da società di sicurezza ben note come Trail of Bits e Cyfrin e abbia problemi "seri" nei rapporti, non è chiaro se l'attacco rientri nell'ambito di questi rapporti di audit.