Die besten Krypto-Einblicke direkt in Ihren Posteingang.
Ethereum Börse BunniXYZ erbeutete 2,3 Millionen US-Dollar durch einen Smart-trac-Angriff
- BunniXYZ wurde durch seinen Smarttraczur Liquiditätsanpassung ausgenutzt, wodurch 2,3 Millionen Dollar bewegt wurden.
- Der Angreifer nutzte den SmarttracBug aus, indem er mehrere Transaktionen durchführte, die zu fehlerhaften Berechnungen führten und zu einer höheren Token-Zuteilung führten.
- BunniXYZ erlebte im August einen seiner erfolgreichsten Monate und erreichte einen TVL-Höchstwert von über 60 Millionen Dollar.
Bei der Ethereum Börse BunniXYZ kam es zu einer Reihe unautorisierter Abflüsse. On-Chain-Ermittlerdentden Vorfall als Hackerangriff mit einem Schaden von rund 2,3 Millionen US-Dollar.
Die dezentrale Ethereum Börse BunniXYZ wurde über einen ihrer Smarttracangegriffen. Der Hacker transferierte hauptsächlich Stablecoins und erlitt dadurch einen Gesamtschaden von 2,3 Millionen US-Dollar.
Wir habendenteine Sicherheitslücke im Wert von 2,3 Millionen US-Dollar im @bunni_xyz BunniHub-Vertragtrac.https://t.co/lZB0vzSMQx
Der Angreifer hat Gelder an 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b transferiert.
Bleibt wachsam!
— CertiK Alert (@CertiKAlert) 2. September 2025
Anhand der Transaktionshistoriekonnte der Hacker USDT- und USDC-Vaults angreifen und die Token anschließend durch das Ethereum Ökosystem transferieren, wodurch ein Mix aus ETH und Stablecoins entstand. Innerhalb weniger Minuten erkannte das BunniXYZ -Projekt den Angriff auf seine App und schloss alle Smarttrac.
Kurz nach dem Hack tauschte Gelder über andere DeFi Protokolle in ETH um.
In der Stunde nach dem Angriff hatte der Hacker die Gelder noch nicht bewegt oder vermischt, abgesehen von den anfänglichen Transaktionen über DeFi Protokolle. Der Angriff auf BunniXYZ gehört zu einer Reihe relativ kleinerer Hackerangriffe, bei denen jeweils weniger als 10 Millionen US-Dollar gestohlen wurden.
Selbst vergleichsweise kleine Angriffe schädigen oft den Ruf von Protokollen und zerstören neue DeFitractrac tractractractrac tractracCryptopolitanCryptopolitan CryptopolitanCryptopolitanCryptopolitanCryptopolitan CryptopolitanCryptopolitan berichtete. Solche Angriffe nähren den Verdacht auf Insider-Einsätze oder auf Schadcode, der von nordkoreanischen Hackern in Web3 eingeschleust wurde.
BunniXYZ griff auf dem Höhepunkt an
BunniXYZ ist eine dezentrale Börse (DEX), die sowohl Ethereum als auch Unichain nutzt. Der neue Marktplatz verwendet außerdem die Uniswap V4-Technologie, um spezielle Vaults und Märkte mit komplexeren Handelsregeln zu erstellen.
Wie auch andere Märkte wurde BunniXYZ kurz nach Erreichen eines lokalen Höchststandes an gebundenen Vermögenswerten angegriffen. Ende August verwahrte die Börse bis zu 60 Millionen US-Dollar in ihren Tresoren. Der Markt war nach seinem Start im Februar und seiner Etablierung unter den neuen DeFi Protokollen noch relativ klein.
Der August war mit einem Handelsvolumen von über einer Milliarde US-Dollar einer der erfolgreichsten Monate für die DEX. Die Börse konzentrierte sich gezielt auf den Aufbau von Liquidität für die Wiederverpfändungund vermied gleichzeitig Liquidationen in Marktabschwüngen. Die DEX-Liquidität war zudem mit dem Euler-Protokoll für passives Einkommen verknüpft.
einfließen ließ 393 Millionen US-Dollar in seine Tresore auf Ethereum und 298 Millionen US-Dollar auf Unichain
Hacker nutzte Liquiditätsberechnung von BunniXYZ aus
Die Analyse nach dem Hack ergab, dass BunniXYZ aufgrund seines spezifischentracangreifbar war. Die dezentrale Börse (DEX) dient als Liquiditäts-Hook und nutzt die Uniswap-V4-Technologie. Anstatt jedoch die Liquiditätsberechnung von Uniswap zu verwenden, berechnet BunniXYZ die Liquiditätsverteilungsfunktion neu.
Der Angreifer entdeckte, dass die Liquiditätsverteilungsfunktion bei Transaktionen bestimmter Größenordnungen ausfallen konnte. Dies führte dazu, dass der Smart ContracttracToken aus dem Liquiditätspool auszahlte, als tatsächlich vorhanden waren, wodurch die Börse leergeräumt wurde. Der Angreifer musste mehrere Transaktionen wiederholen, um schließlich 2,3 Millionen US-Dollar zu erwirtschaften und diese dann in ETH umzutauschen. Anschließend zahlte er die ETH in sein Aave1,33 Millionen US-Dollar in AethUSDC und 1 Million US-Dollar in AethUSDT Endbestand, .
BunniXYZ wurde bereits geprüft, der LDF-Fehler könnte jedoch erst mit einer späteren Version der Börse aufgetreten sein. Die wahrscheinlichste Ursache ist ein Präzisionsfehler, der es dem Angreifer ermöglichte, mehrere Transaktionen durchzuführen, um durch die fehlerhafte Neuberechnung ein höheres Guthaben zu erzielen.
Lesen Sie Krypto-News nicht nur, sondern verstehen Sie sie. Abonnieren Sie unseren Newsletter. Er ist kostenlos.
Haftungsausschluss. Die bereitgestellten Informationen stellen keine Anlageberatung dar. Cryptopolitan/ übernimmt keine Haftung für Investitionen, die auf Grundlage der Informationen auf dieser Seite getätigt werden. Wirtrondentdentdentdentdentdentdentdent oder einen qualifizierten Fachmann zu konsultieren
CRASH-KURS
- Mit welchen Kryptowährungen kann man Geld verdienen?
- Wie Sie Ihre Sicherheit mit einer digitalen Geldbörse erhöhen können (und welche sich tatsächlich lohnen)
- Wenig bekannte Anlagestrategien, die Profis anwenden
- Wie man mit dem Investieren in Kryptowährungen beginnt (welche Börsen man nutzen sollte, welche Kryptowährung am besten zum Kauf geeignet ist usw.)