Le migliori analisi sul mondo delle criptovalute, direttamente nella tua casella di posta.
L'exchange Ethereum BunniXYZ è stato prosciugato per 2,3 milioni di dollari tramite exploit di smarttrac
- BunniXYZ è stato sfruttato attraverso il suotracintelligente di ribilanciamento della liquidità, spostando 2,3 milioni di dollari.
- Lo sfruttatore ha eseguito più transazioni per utilizzare il bug dello smarttrac, che ha eseguito calcoli errati e ha assegnato più token.
- BunniXYZ ha avuto uno dei suoi mesi di maggior successo ad agosto, raggiungendo il picco di TVL di oltre 60 milioni di dollari.
L'exchange Ethereum BunniXYZ ha registrato una serie di deflussi non autorizzati. Gli investigatori on-chain hannodentl'evento come un hack, con perdite per circa 2,3 milioni di dollari.
BunniXYZ, un exchange decentralizzato Ethereum , è stato sfruttato tramite uno dei suoi smarttrac. L'hacker ha spostato principalmente stablecoin, per una perdita totale di 2,3 milioni di dollari.
Abbiamodentun exploit da 2,3 milioni di dollari sul @bunni_xyz BunniHubtrac.https://t.co/lZB0vzSMQx
Lo sfruttatore ha esfiltrato fondi a 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b.
Restate vigili!
— CertiK Alert (@CertiKAlert) 2 settembre 2025
Sulla base della cronologia delle transazioni, l'hacker ha attaccato i vault USDT e USDC, quindi ha spostato i token attraverso l' Ethereum , ottenendo un mix di ETH e stablecoin. Entro i primi minuti, il BunniXYZ ha riconosciuto l'attacco alla sua app, chiudendo tutti gli smarttrac.
Subito dopo l'attacco informatico, lo sfruttatore ha continuato a scambiare fondi in ETH tramite altri DeFi protocolli
Nell'ora successiva all'attacco, l'hacker non aveva ancora spostato o mixato i fondi, fatta eccezione per i movimenti iniziali tramite protocolli DeFi . L'attacco contro BunniXYZ fa parte dell'ultima serie di attacchi informatici relativamente minori, che hanno rubato meno di 10 milioni di dollari.
Anche gli attacchi relativamente piccoli spesso compromettono la reputazione dei protocolli e distruggono nuovi DeFitractrac tractractractrac tractracCryptopolitanCryptopolitan CryptopolitanCryptopolitanCryptopolitanCryptopolitan CryptopolitanCryptopolitan riportato. Tali attacchi sollevano sospetti di complotti interni o di codice dannoso iniettato nel Web3 da hacker nordcoreani.
BunniXYZ ha attaccato al culmine
BunniXYZ è un DEX che utilizza sia Ethereum che Unichain. Il nuovo mercato sfrutta anche la tecnologia Uniswap V4 per creare caveau e mercati speciali con regole di trading più complesse.
Come altri mercati, BunniXYZ è stato attaccato subito dopo aver raggiunto un picco locale di valore bloccato. Alla fine di agosto, l'exchange aveva fino a 60 milioni di dollari nei suoi caveau. Il mercato era ancora relativamente piccolo, dopo il lancio a febbraio e la sua affermazione tra i nuovi protocolli DeFi .
Agosto è stato anche uno dei mesi di maggior successo per il DEX, con volumi di oltre 1 miliardo di dollari. L'exchange stava specificamente accumulando liquidità per il rehypothecation, evitando al contempo liquidazioni durante le fasi di ribasso del mercato. La liquidità del DEX era inoltre collegata al protocollo di Eulero per il reddito passivo.
BunniXYZ ha sfruttato i volumi espansi di Uniswap V4, poiché il protocollo ha attirato oltre 393 milioni di dollari nei suoi caveau su Ethereum e 298 milioni di dollari su Unichain.
L'hacker ha sfruttato il calcolo della liquidità di BunniXYZ
L'analisi post-hack ha mostrato che BunniXYZ era vulnerabile a causa del suo specificotracdi ricalcolo della liquidità. Il DEX è un gancio di liquidità, che utilizza la tecnologia Uniswap V4. Tuttavia, invece di utilizzare il calcolo della liquidità di Uniswap, BunniXYZ ricalcola la Funzione di Distribuzione della Liquidità.
L'attaccante ha scoperto che la funzione di distribuzione della liquidità poteva bloccarsi a causa di transazioni di determinate dimensioni. Ciò significava che lo smart contracttracdistribuito più token dal pool di liquidità di quanti ne possedesse effettivamente, finendo per svuotare l'exchange. L'attaccante ha dovuto ripetere diverse transazioni per accumulare infine 2,3 milioni di dollari, che ha poi convertito in ETH. Ha quindi depositato gli ETH su Aave, arrivando a detenere 1,33 milioni di dollari in AethUSDC e 1 milione di dollari in AethUSDT, secondo il del wallet .
BunniXYZ è stato sottoposto a precedenti audit, ma il bug LDF potrebbe essere comparso con una versione successiva dell'exchange. La causa più probabile è un bug di precisione, che ha costretto l'hacker a eseguire più transazioni per accumulare un saldo maggiore basato sul ricalcolo errato.
Non limitarti a leggere le notizie sulle criptovalute. Cerca di capirle. Iscriviti alla nostra newsletter. È gratis.
Disclaimer. Le informazioni fornite non costituiscono consulenza finanziaria. Cryptopolitandi declina ogni responsabilità per gli investimenti effettuati sulla base delle informazioni contenute in questa pagina. Raccomandiamotrondentdentdentdentdentdentdentdent e/o di consultare un professionista qualificato prima di prendere qualsiasi decisione di investimento.
CORSO
- Quali criptovalute possono farti guadagnare
- Come rafforzare la sicurezza del tuo portafoglio digitale (e quali sono quelli davvero validi)
- Strategie di investimento poco conosciute utilizzate dai professionisti
- Come iniziare a investire in criptovalute (quali piattaforme di scambio utilizzare, le migliori criptovalute da acquistare, ecc.)