اختراق منصة Bunni DEX يُسلط الضوء على ثغرات أمنية في DeFi

تعرضت بورصة Bunni اللامركزية لاستغلال بقيمة 2.3 مليون دولار على blockchain Ethereum، مما كشف عن نقاط ضعف مستمرة في بروتوكولات DeFi وأبرز المخاوف المتجددة بشأن أمان العقود الذكية.

تم اكتشاف الاختراق من قبل شركة أمن blockchain Blocksec Phalcon، يوم الثلاثاء وشمل الوصول غير المصرح به إلى العقود الذكية القائمة على Ethereum الخاصة بـ Bunni.

في حين أن الطريقة الدقيقة التي استخدمها المهاجمون لا تزال قيد التحقيق، تظهر بيانات Etherscan أن الأموال المسروقة تم تحويلها إلى العنوان الذي يحتوي على 1.33 مليون دولار في USDC و 1.04 مليون دولار في USDt.

ردًا على الحادث، أوقفت Bunni على الفور جميع وظائف العقود الذكية عبر شبكاتها المدعومة وأعلنت على X أن تحقيقًا كاملاً جارٍ.

في أعقاب الاستغلال، نصح مايكل بنتلي، المؤسس المشارك والرئيس التنفيذي لشركة Euler Labs، المستخدمين بإزالة أموالهم من Bunni على الفور، موضحًا أنه في حين تعيد Bunni موازنة الأموال مع Euler، فإن الأخيرة تظل غير متأثرة وآمنة.

وأكد البروتوكول على سلامة المستخدم باعتبارها الأولوية القصوى وتعهد بتقديم المزيد من التحديثات مع توفر المزيد من المعلومات.

كيف وقعت بوني في الفخ؟

ورغم أن التحقيقات لا تزال غير حاسمة، فإن التحليلات المبكرة أشارت بالفعل إلى العديد من العيوب التي جعلت بوني عرضة للقراصنة.

بما أن Bunni مبنية على Uniswap v4، فإنها تستخدم آلية مُخصصة تُسمى وظائف توزيع السيولة، بدلاً من منطق Uniswap الافتراضي. تُمكّن هذه الآلية Bunni من تحسين توزيع السيولة عبر نطاقات الأسعار، بهدف زيادة عوائد مُزودي السيولة.

ومع ذلك، أشار فيكتور تران، المؤسس المشارك لشركة Kybernetwork، إلى أن هذا النوع من النظام يسمح أيضًا للمهاجم بالتلاعب بمنحنى LDF من خلال تنفيذ عمليات تداول بأحجام محددة مما أدى إلى حدوث منطق إعادة توازن خاطئ.

كشف تران عن السيناريو المحتمل قائلاً

اكتشف المستغلون إمكانية التلاعب بصندوق الاحتياطي الفيدرالي هذا من خلال صفقات بأحجام محددة للغاية. أدت هذه المبالغ المختارة بعناية إلى خلل في حساب إعادة التوازن، مما أدى إلى نتائج خاطئة بشأن مقدار ما يجب أن يمتلكه كل سهم من أسهم LP.

ثغرة كبيرة في أمن DEX؟

من بين نقاط الضعف الرئيسية الأخرى في Bunni DEX هو أيضًا اعتماد المنصة بشكل كبير على أتمتة العقود الذكية لوظائفها اليومية.

أدى اعتماد التمويل اللامركزي (DeFi) الكبير على العقود الذكية إلى جعل التدابير الأمنية المتينة مصدر قلق دائم. ووفقًا لتقرير شركة CertiK، فإن الثغرات الأمنية في الشيفرة البرمجية على السلسلة، أو البنية التحتية الأساسية لتقنية البلوك تشين، أو حتى عيوب لغات البرمجة، أدت إلى خسائر تجاوزت 686 مليون دولار أمريكي عبر بروتوكولات التمويل اللامركزي في عام 2023 وحده.

يوصي الخبراء من Apex، وهي بورصة مشتقات لامركزية، بأن يتفاعل المستخدمون فقط مع العقود التي خضعت للتدقيق من قبل شركات ذات سمعة طيبة وتقييد أذونات الموافقة لتقليل مخاطر استنزاف المحفظة.

تعد هذه الخطوات الاستباقية بالغة الأهمية مع استمرار DeFi في التوسع وجذب المستخدمين والمهاجمين الانتهازيين.

سد الثغرات الأمنية في التمويل اللامركزي

يعد خرق Bunni بمثابة تذكير صارخ بأنه في حين تتسارع ابتكارات DeFi، يجب أن تتطور معايير الأمان بنفس السرعة.

وفي رأيي، فإن نجاح الصناعة على المدى الطويل سوف يعتمد على إعطاء الأولوية لعمليات التدقيق الصارمة على التعليمات البرمجية، والإفصاحات الشفافة، والتركيز المستمر على حماية المستخدم.

مع تزايد ترابط مشاريع DeFi، يمكن أن تؤدي ثغرة أمنية واحدة إلى عواقب متتالية، مما يؤكد الحاجة الملحة إلى ترقيات أمنية مستمرة للحفاظ على الثقة والمصداقية في القطاع.