На бирже Ethereum BunniXYZ было украдено 2,3 млн долларов из-за использованияtracсмарт-контрактов

На бирже BunniXYZ Ethereum произошла серия несанкционированных оттоков средств. Специалисты по расследованию инцидентов в блокчейнеdentэто как взлом, причинивший ущерб примерно в 2,3 миллиона долларов. 

Децентрализованная биржа BunniXYZ на Ethereum подверглась взлому через один из своих смарт-trac. Хакер переместил в основном стейблкоины, причинив общий ущерб в размере 2,3 млн долларов. 

#CertiKInsight 🚨

Мы обнаружилиdentна сумму 2,3 млн долларов в @bunni_xyz с BunniHubtrac.https://t.co/lZB0vzSMQx

Злоумышленник вывел средства на адрес 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b.

Будьте бдительны!

— CertiK Alert (@CertiKAlert) 2 сентября 2025 г.

На основе истории транзакцийхакер атаковал хранилища USDT и USDC, а затем переместил токены через Ethereum , получив в итоге смесь ETH и стейблкоинов. В течение первых минут BunniXYZ распознал атаку на свое приложение, закрыв все смарт-trac. 

Вскоре после взлома злоумышленник продолжил конвертировать средства в ETH через другие DeFi . 

В течение часа после атаки хакер еще не перемещал и не смешивал средства, за исключением первоначальных операций через протоколы DeFi . Атака на BunniXYZ является частью последней серии относительно небольших взломов, в результате которых было украдено менее 10 миллионов долларов. 

Даже относительно небольшие атаки часто наносят ущерб репутации протоколов и разрушают новые DeFitractrac tractractractrac tractracCryptopolitanCryptopolitan CryptopolitanCryptopolitanCryptopolitanCryptopolitan CryptopolitanCryptopolitan сообщило. Такие атаки вызывают подозрения в участии инсайдеров или внедрении вредоносного кода в Web3 хакерами из КНДР. 

BunniXYZ атаковали на пике

BunniXYZ — это децентрализованная биржа (DEX), использующая Ethereum и Unichain. Новый рынок также применяет технологию Uniswap V4 для создания специальных хранилищ и рынков с более сложными правилами торговли. 

Как и другие рынки, BunniXYZ подвергся атаке вскоре после достижения локального пика заблокированной стоимости. В конце августа на бирже хранилось до 60 миллионов долларов. Рынок был еще относительно небольшим, после запуска в феврале и занятия своего места среди новых протоколов DeFi . 

Август также стал одним из самых успешных месяцев для DEX, объем торгов превысил 1 миллиард долларов. Биржа целенаправленно наращивала ликвидность для повторного залога, избегая при этом ликвидаций во время спадов на рынке. Ликвидность DEX также была связана с протоколом Эйлера для получения пассивного дохода.

BunniXYZ воспользовалась увеличением объемов транзакций на Uniswap V4, в результате чего протокол привлек более 393 миллионов долларов в свои хранилища на Ethereum и 298 миллионов долларов на Unichain.

Хакер использовал уязвимость в расчетах ликвидности BunniXYZ

Анализ после взлома показал, что уязвимость BunniXYZ обусловлена ​​специфическимtracна перерасчет ликвидности. Эта децентрализованная биржа (DEX) использует технологию Uniswap V4 для перераспределения ликвидности. Однако вместо использования расчета ликвидности Uniswap, BunniXYZ пересчитывает функцию распределения ликвидности. 

Злоумышленник обнаружил, что функция распределения ликвидности может выйти из строя при сделках определённого размера. Это означало, что смарт-tracвыплачивал из пула ликвидности больше токенов, чем было у него на самом деле, в итоге истощая биржу. Злоумышленнику пришлось повторить множество транзакций, чтобы в итоге накопить 2,3 миллиона долларов, а затем обменять их на ETH. После этого он внёс ETH на Aave, имея 1,33 миллиона долларов в AethUSDC и 1 миллион долларов в AethUSDT, исходя из кошелька . 

Биржа BunniXYZ ранее проходила проверки, но ошибка LDF, возможно, появилась в более поздней версии биржи. Наиболее вероятной причиной является ошибка точности, из-за которой хакеру приходилось совершать несколько транзакций, чтобы получить больший баланс на основе ошибочного перерасчета.