سُحبت أموال بقيمة 2.3 مليون دولار من منصة تداول Ethereum BunniXYZ نتيجة استغلال ثغرة فيtracالذكية

شهدت منصة تداول Ethereum BunniXYZ على شبكة إيثيريوم سلسلة من عمليات السحب غير المصرح بها. وقدdentمحققو الشبكة أن الحادثة كانت عملية اختراق، حيث بلغت الخسائر حوالي 2.3 مليون دولار. 

تعرضت منصة BunniXYZ، وهي منصة تداول لامركزية تعتمد Ethereum ، لاختراق من خلال أحدtracالذكية. قام المخترق بتحويل معظم العملات المستقرة، مما تسبب في خسارة إجمالية قدرها 2.3 مليون دولار. 

#CertiKInsight 🚨

لقد اكتشفناdentبقيمة 2.3 مليون دولار أمريكي في @bunni_xyz BunniHub التابع لـtrac.https://t.co/lZB0vzSMQx

قام المستغل بتحويل الأموال إلى 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b.

ابقَ متيقظاً!

— تنبيهات سيرتيك (@CertiKAlert) ٢ سبتمبر ٢٠٢٥

استنادًا إلى سجل المعاملات، استهدف المخترق خزائن USDT وUSDC، ثم نقل الرموز عبر Ethereum البيئي، لينتهي به المطاف بمزيج من ETH والعملات المستقرة. وفي غضون الدقائق الأولى، BunniXYZ الهجوم على تطبيقه، وأغلق جميع العقودtrac. 

بعد فترة وجيزة من الاختراق، استمر المخترق في تحويل الأخرى DeFi . 

في الساعة التي تلت الهجوم، لم يقم المخترق بتحويل أو دمج الأموال، باستثناء التحويلات الأولية عبر بروتوكولات DeFi . ويُعدّ الهجوم على منصة BunniXYZ جزءًا من سلسلة حديثة من عمليات الاختراق الصغيرة نسبيًا، حيث لم تتجاوز قيمة المسروقات 10 ملايين دولار. 

حتى الهجمات الصغيرة نسبيًا غالبًا ما تُلحق الضرر بسمعة البروتوكولات وتُدمر DeFitractrac tractractractrac tractracCryptopolitanCryptopolitan CryptopolitanCryptopolitanCryptopolitanCryptopolitan CryptopolitanCryptopolitan ذكر. تُثير هذه الهجمات الشكوك حول وجود تواطؤ داخلي، أو برمجيات خبيثة زرعها قراصنة من كوريا الشمالية في منصة Web3. 

شنت شركة BunniXYZ هجومًا عند القمة

BunniXYZ هي منصة تداول لامركزية تستخدم كلاً من Ethereum ويوني تشين. كما تستخدم السوق الجديدة تقنية Uniswap V4 لإنشاء خزائن وأسواق خاصة بقواعد تداول أكثر تعقيداً. 

كما هو الحال في الأسواق الأخرى، تعرض سوق BunniXYZ لهجوم بعد فترة وجيزة من بلوغه ذروة محلية في قيمة الأصول المُودعة. في نهاية أغسطس، بلغ حجم الأصول المُودعة في خزائن المنصة 60 مليون دولار. كان السوق لا يزال صغيرًا نسبيًا، بعد إطلاقه في فبراير وتأسيسه مكانته بين بروتوكولات DeFi الجديدة. 

كان شهر أغسطس أيضًا من أنجح الشهور بالنسبة لمنصة التداول اللامركزية، حيث تجاوز حجم التداول مليار دولار. وقد ركزت المنصة بشكل خاص على تعزيز السيولة لإعادة الرهن، مع تجنب عمليات التصفية خلال فترات انكماش السوق. كما تم ربط سيولة المنصة ببروتوكول أويلر لتحقيق دخل سلبي.

استفادت BunniXYZ من الأحجام الموسعة لـ Uniswap V4، حيث اجتذب البروتوكول أكثر من 393 مليون دولار إلى خزائنه على Ethereum و 298 مليون دولار على Unichain.

استغلّ أحد المخترقين حسابات السيولة في شركة BunniXYZ

أظهر تحليل ما بعد الاختراق أن منصة BunniXYZ كانت عرضة للاختراق بسببtracإعادة حساب السيولة الخاص بها. تعتمد هذه المنصة اللامركزية على تقنية Uniswap V4 لربط السيولة، ولكن بدلاً من استخدام آلية حساب السيولة الخاصة بـ Uniswap، تقوم BunniXYZ بإعادة حساب دالة توزيع السيولة. 

المُخترق اكتشف أن وظيفة توزيع السيولة قد تتعطل عند إجراء صفقات بأحجام مُحددة. هذا يعني أن العقد الذكيtracيدفع رموزًا من مجمع السيولة أكثر مما هو مملوك فعليًا، مما أدى في النهاية إلى استنزاف رصيد المنصة. اضطر المُهاجم إلى تكرار عدة معاملات لجمع 2.3 مليون دولار، ثم استبدلها بعملة إيثيريوم (ETH). بعد ذلك، قام بإيداع الإيثيريوم في Aave، حيث أصبح لديه 1.33 مليون دولار من عملة AethUSDC ومليون دولار من عملة AethUSDT بناءً على للمحفظة الرصيد النهائي 

خضعت منصة BunniXYZ لعمليات تدقيق سابقة، لكن من المحتمل أن يكون خلل LDF قد ظهر مع إصدار لاحق من المنصة. والسبب الأرجح هو خلل في دقة الحساب، مما استلزم من المخترق إجراء معاملات متعددة لتجميع رصيد أكبر بناءً على إعادة حساب خاطئة.