Ethereum 取引所BunniXYZ、スマートtracの脆弱性攻撃で230万ドル流出

Ethereum 取引所BunniXYZで不正な資金流出が相次ぎました。オンチェーン調査員は、この事件をハッキングとdent、損失額は約230万ドルに上ると発表しました。. 

Ethereum 分散型取引所BunniXYZが、スマートtracの一つを通じて攻撃を受けました。ハッカーは主にステーブルコインを移動させ、総額230万ドルの損失を被りました。. 

#CertiKInsight 🚨

@bunni_xyz BunniHub コンtrac。たdentで 230 万ドル相当のエクスプロイトを特定し https://t.co/lZB0vzSMQx

攻撃者は資金を 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b に流出させました。.

警戒を怠らないでください!

— CertiK Alert (@CertiKAlert) 2025年9月2日

取引履歴に基づくと 、ハッカーはUSDTとUSDCの金庫を攻撃し、その後、これらのトークンを Ethereum 開始から数分以内に システム内で移動させ、最終的にETHとステーブルコインが混在する状態にしたと考えられます。BunniXYZプロジェクトは、攻撃 アプリへの攻撃を認識し、すべてのスマートコントラクトtrac。 閉鎖しました

ハッキングの直後、攻撃者は 他の を通じて資金をETHに DeFi プロトコル 交換し続けました。

攻撃から1時間後、ハッカーは DeFi プロトコルを介した最初の移動を除き、資金の移動や混合を行っていませんでした。BunniXYZへの攻撃は、1,000万ドル未満の比較的小規模なハッキングの最新シリーズの一部です。. 

比較的小規模な攻撃であっても、プロトコルの評判を損ない、新たな DeFi の一つはtracBetterBankに対するものだった Cryptopolitan 報じた。こうした攻撃は、内部犯行、あるいは北朝鮮のハッカーがWeb3に悪意のあるコードを注入したのではないかという疑念を抱かせる。 

BunniXYZがピーク時に攻撃

BunniXYZは、EthereumとUnichainの両方を使用するDEXです。この新しいマーケットでは、Uniswap V4テクノロジーも活用し、より複雑な取引ルールを持つ特別な金庫とマーケットを構築します。

他の市場と同様に、BunniXYZはロックされた価値が局所的にピークに達した直後に攻撃を受けました。8月末には、同取引所の金庫には最大6,000万ドルが保管されていました。この市場は2月にローンチされ、新しい DeFi プロトコルの中で地位を確立したばかりでしたが、まだ比較的小規模でした。. 

8月はDEXにとって最も成功した月の一つであり、取引量は10億ドルを超えました。取引所は、 再担保の。DEXの流動性は、受動的な収入源としてオイラープロトコルにも結び付けられていました。

BunniXYZはUniswap V4の取引量拡大に乗り、プロトコルは の金庫に Ethereum 、Unichainに2億9,800万ドル以上を集めました。3億9,300万ドル以上

ハッカーがBunniXYZの流動性計算を悪用

ハッキング後の分析により、BunniXYZは特定の流動性再計算tracに脆弱性があることが判明しました。このDEXはUniswap V4技術を用いた流動性フックですが、Uniswapの流動性計算ではなく、流動性分配関数（LIF）を再計算します。. 

攻撃者は、 流動性分配関数が特定の規模の取引で破綻する可能性があることtracが実際に保有しているトークンよりも多くのトークンを流動性プールから払い出し、最終的に取引所の資金を枯渇させることを意味した。攻撃者は最終的に230万ドルを貯めるために複数の取引を繰り返し、その後それをETHに交換した。そして、 Aave、133万ドル相当のAethUSDCと100万ドル相当のAethUSDTを保有することになった を発見した。これは、スマートウォレットの最終残高に基づいて、ETHをに預け入れ 。 

BunniXYZは以前にも監査を受けていますが、LDFバグは取引所の後のバージョンで発生した可能性があります。最も可能性の高い原因は精度に関するバグで、ハッカーは不完全な再計算に基づいてより大きな残高を得るために複数の取引を実行する必要がありました。.