Bunni Utnyttelse: En Oversikt
Det desentraliserte finansprotokollet Bunni opplevde en utnyttelse på $8,4 millioner den 2. september, etter at en sofistikert angriper utnyttet et flash-lån for å manipulere likviditetspooler på både Ethereum og Unichain. Hendelsen, som målrettet weETH/ETH– og USDC/USDT-poolene, har blitt tilskrevet en feil i Bunnis smarte kontraktslogikk som involverer rundingsfeil.
Utnyttelsens Detaljer
Ifølge Bunnis post-mortem ble utnyttelsen utført i tre faser. Angriperen lånte først 3 millioner USDT via et flash-lån og brukte det til å manipulere spotprisen på USDC/USDT-poolen til ekstreme nivåer. Med poolens aktive USDC-balanse redusert til bare 28 wei, initierte utnytteren 44 små uttak. Dette utnyttet en rundingsfeil i Bunnis kode, som uforholdsmessig senket poolens likviditet med over 84%. Med likviditeten kunstig undertrykt, gjennomførte angriperen et sandwich-angrep og utførte store bytter som presset prisene til forvrengte verdier. Ved å reversere den tidligere likviditetsreduksjonen, trakk de ut fortjeneste før de tilbakebetalte flash-lånet. Totalt ga utnyttelsen omtrent 1,33 millioner USDC og 1 million USDT til angriperen.
Bekreftelse av Sårbarhet
Blockchain-sikkerhetsfirmaet Cyfrin bekreftet at sårbarheten stammer fra hvordan Bunnis smarte kontrakt rundet balanser under uttak. Selv om mekanismen var designet for å favorisere poolsikkerhet ved å undervurdere likviditet, skapte gjentatte små uttak forhold som tillot rundingslogikken å bli utnyttet i stor skala. Bunni bemerket at dens største pool, Unichains USDC/USD₮0-par, ble spart på grunn av utilstrekkelig flash-låne likviditet tilgjengelig for å gjennomføre et angrep. Å utnytte den poolen ville ha krevd omtrent $17 millioner i lånte eiendeler, men bare $11 millioner var tilgjengelig på låneplattformer på det tidspunktet.
Reaksjon og Tiltak
Bunni bekreftet at de stjålne eiendelene nå er delt mellom to lommebøker knyttet til angriperen. Etterforskere sporet opprinnelsen til midlene, men traff en blindvei etter å ha oppdaget at lommebøkene var finansiert gjennom Tornado Cash, et sanksjonert personverktøy. Teamet har kontaktet utnytteren direkte på kjeden og tilbudt en 10% belønning i bytte mot å returnere de gjenværende midlene. Sentraliserte børser har også blitt varslet for å forhindre eventuelle forsøk på avvikling, mens rettshåndhevelse har blitt involvert for å forfølge gjenopprettingsalternativer.
I umiddelbar etterkant pauset Bunni alle operasjoner, men har siden gjenopprettet uttak for å la likviditetsleverandører hente tilbake innskuddene sine. Innskudd og bytter forblir frosset mens utviklerne jobber med en løsning. Å endre rundingsretningen til den berørte funksjonen nøytraliserer den nåværende utnyttelsesvektoren, selv om teamet anerkjente at mer omfattende testing og sikkerhetsforbedringer er nødvendige før full gjenåpning. Bunni, drevet av et seks-personers team, sa at de forblir forpliktet til å fortsette utviklingen til tross for tilbakeslaget. Protokollen introduserte nye konsepter som Likviditetstetthetsfunksjoner (LDF), som teamet hevder representerer en ny generasjon av automatiserte markedsmakere.
«Vi har brukt år på å bygge Bunni fordi vi tror det er fremtiden for AMM-er,»
sa teamet i sin uttalelse, mens de lovet å styrke sin kodebase og testrammer for å forhindre lignende angrep.
August: En Uheldig Måned for Krypto Sikkerhet
Bunni, som en gang hadde over $80 millioner i total verdi låst (TVL) på BNB Chain, har nå bare litt over $50 millioner etter utnyttelsen. Hendelsen legger til en rekke angrep og svindler som rammer sektoren. Bare en dag tidligere mistet en Venus Protocol-bruker $13,5 millioner i en phishing-svindel. Ifølge blockchain-sikkerhetsfirmaet PeckShield godkjente offeret uvitende en ondsinnet transaksjon, og ga token-tillatelser som muliggjorde tyveriet. Mens de første rapportene antydet at $27 millioner ble tappet, viste senere analyser at gjeldsposisjoner feilaktig ble inkludert i tallet. Venus understreket at deres smarte kontrakter forble sikre og bekreftet at det kun var brukeren som ble kompromittert.
Hendelsen fulgte en økning i krypto-relaterte utnyttelser i august, med PeckShield-data som viste at $163 millioner ble stjålet over 16 store angrep, opp fra $142 millioner i juli. Tapene gjorde august til den tredje verste måneden for krypto-sikkerhet i 2025. Det største enkeltstykket tyveri skjedde 19. august, da en Bitcoin-innehaver mistet 783 BTC, verdt $91,4 millioner, i et sosialt ingeniørskjema. Angripere skal angivelig ha utgitt seg for å være støttepersonell for maskinvare-lommebøker for å skaffe sensitive legitimasjoner før de hvitvasket midlene gjennom Wasabi Wallet. Den tyrkiske børsen BtcTurk ble også rammet, og mistet $54 millioner i et multi-kjede hot wallet-brudd på tvers av syv blockchain-nettverk. Hendelsen brakte de kumulative tapene til over $100 millioner etter et tidligere hack i juni 2024. Andre bemerkelsesverdige tilfeller inkluderte ODIN•FUNs $7 millioner tap, BetterBank.io’s $5 millioner utnyttelse, og CrediX Finance’s $4,5 millioner kollaps, som ble til en exit-svindel etter at utviklerne forlot prosjektet. Med phishing, børs-sårbarheter og exit-svindler som driver økende tap, understreket august hvordan både tekniske feil og menneskelig feil fortsatt plager kryptoindustrien.
