Le migliori analisi sul mondo delle criptovalute, direttamente nella tua casella di posta.
L'exchange Ethereum BunniXYZ è stato prosciugato per 2,3 milioni di dollari tramite exploit di smarttrac
- BunniXYZ è stato sfruttato attraverso il suotracintelligente di ribilanciamento della liquidità, spostando 2,3 milioni di dollari.
- Lo sfruttatore ha eseguito più transazioni per utilizzare il bug dello smarttrac, che ha eseguito calcoli errati e ha assegnato più token.
- BunniXYZ ha avuto uno dei suoi mesi di maggior successo ad agosto, raggiungendo il picco di TVL di oltre 60 milioni di dollari.
L'exchange Ethereum BunniXYZ ha registrato una serie di deflussi non autorizzati. Gli investigatori on-chain hannodentl'evento come un hack, con perdite per circa 2,3 milioni di dollari.
BunniXYZ, un exchange decentralizzato Ethereum , è stato sfruttato tramite uno dei suoi smarttrac. L'hacker ha spostato principalmente stablecoin, per una perdita totale di 2,3 milioni di dollari.
Abbiamodentun exploit da 2,3 milioni di dollari sul BunniHubtrac. @bunni_xyz https://t.co/lZB0vzSMQx
Lo sfruttatore ha esfiltrato fondi a 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b.
Restate vigili!
— CertiK Alert (@CertiKAlert) 2 settembre 2025
Sulla base della cronologia delle transazioni, l'hacker ha attaccato i vault USDT e USDC, quindi ha spostato i token attraverso l' Ethereum , ottenendo un mix di ETH e stablecoin. Entro i primi minuti, il BunniXYZ ha riconosciuto l'attacco alla sua app, chiudendo tutti gli smarttrac.
Subito dopo l'attacco informatico, lo sfruttatore ha continuato a scambiare fondi in ETH tramite altri DeFi protocolli
Nell'ora successiva all'attacco, l'hacker non aveva ancora spostato o mixato i fondi, fatta eccezione per i movimenti iniziali tramite protocolli DeFi . L'attacco contro BunniXYZ fa parte dell'ultima serie di attacchi informatici relativamente minori, che hanno rubato meno di 10 milioni di dollari.
Anche gli attacchi relativamente piccoli spesso compromettono la reputazione dei protocolli e distruggono nuovi DeFi . Uno dei più recenti exploit di smart contracttraccolpito BetterBank, come Cryptopolitan riportato. Tali attacchi sollevano sospetti di complotti interni o di codice dannoso iniettato nel Web3 da hacker nordcoreani.
BunniXYZ ha attaccato al culmine
BunniXYZ è un DEX che utilizza sia Ethereum che Unichain. Il nuovo mercato sfrutta anche la tecnologia Uniswap V4 per creare caveau e mercati speciali con regole di trading più complesse.
Come altri mercati, BunniXYZ è stato attaccato subito dopo aver raggiunto un picco locale di valore bloccato. Alla fine di agosto, l'exchange aveva fino a 60 milioni di dollari nei suoi caveau. Il mercato era ancora relativamente piccolo, dopo il lancio a febbraio e la sua affermazione tra i nuovi protocolli DeFi .
Agosto è stato anche uno dei mesi di maggior successo per il DEX, con volumi di oltre 1 miliardo di dollari. L'exchange stava specificamente accumulando liquidità per il rehypothecation, evitando al contempo liquidazioni durante le fasi di ribasso del mercato. La liquidità del DEX era inoltre collegata al protocollo di Eulero per il reddito passivo.
BunniXYZ ha sfruttato i volumi espansi di Uniswap V4, poiché il protocollo ha attirato oltre 393 milioni di dollari nei suoi caveau su Ethereum e 298 milioni di dollari su Unichain.
L'hacker ha sfruttato il calcolo della liquidità di BunniXYZ
L'analisi post-hack ha mostrato che BunniXYZ era vulnerabile a causa del suo specificotracdi ricalcolo della liquidità. Il DEX è un gancio di liquidità, che utilizza la tecnologia Uniswap V4. Tuttavia, invece di utilizzare il calcolo della liquidità di Uniswap, BunniXYZ ricalcola la Funzione di Distribuzione della Liquidità.
L'attaccante ha scoperto che la funzione di distribuzione della liquidità poteva bloccarsi a causa di transazioni di determinate dimensioni. Ciò significava che lo smart contracttracdistribuito più token dal pool di liquidità di quanti ne possedesse effettivamente, finendo per svuotare l'exchange. L'attaccante ha dovuto ripetere diverse transazioni per accumulare infine 2,3 milioni di dollari, che ha poi scambiato con ETH. Ha quindi depositato gli ETH su Aave, arrivando a detenere 1,33 milioni di dollari in AethUSDC e 1 milione di dollari in AethUSDT, secondo il del portafoglio .
BunniXYZ è stato sottoposto a precedenti audit, ma il bug LDF potrebbe essere comparso con una versione successiva dell'exchange. La causa più probabile è un bug di precisione, che ha costretto l'hacker a eseguire più transazioni per accumulare un saldo maggiore basato sul ricalcolo errato.
Se stai leggendo questo, sei già un passo avanti. Rimani al passo con i tempi iscrivendoti alla nostra newsletter.
Disclaimer. Le informazioni fornite non costituiscono consulenza di trading. Cryptopolitan/ non si assume alcuna responsabilità per gli investimenti effettuati sulla base delle informazioni fornite in questa pagina. Consigliamotronvivamente di effettuare ricerche indipendentident di consultare un professionista qualificato prima di prendere qualsiasi decisione di investimento.
Hristina Vasileva
Hristina Vasileva è specializzata in DeFi, economia e finanza. Si è laureata in Filosofia presso l'Università di Sofia, dopo aver conseguito una laurea quadriennale in Economia aziendale, Giornalismo e Comunicazione di massa. Ha lavorato per uno dei principali quotidiani del paese, occupandosi di materie prime e risultati aziendali. Attualmente, Hristina collabora come autrice con Cryptopolitan.
- Quali criptovalute possono farti guadagnare
- Come rafforzare la sicurezza del tuo portafoglio digitale (e quali sono quelli davvero validi)
- Strategie di investimento poco conosciute utilizzate dai professionisti
- Come iniziare a investire in criptovalute (quali piattaforme di scambio utilizzare, le migliori criptovalute da acquistare, ecc.)