Eine dezentrale Börse, die schnell gewachsen war, um fast 80 Millionen Dollar in gesperrten Vermögenswerten zu verwalten, kündigte diese Woche ihre endgültige Schließung an und wurde damit zum zweiten großen Kryptoprojekt, das innerhalb von 48 Stunden den Betrieb einstellte, da finanzielle Engpässe und Sicherheitslücken den digitalen Asset-Sektor weiterhin plagen.
Bunni, eine dezentrale Börse, die auf Uniswap V4-Technologie basiert, bestätigte am Mittwoch, dass sie die sechs- bis siebenstelligen Kosten für einen sicheren Neustart der Plattform nicht decken kann, nachdem ein verheerender Angriff am 2. September die Plattform um $8,4 Millionen erleichtert hatte Liquiditätspools über Ethereum und Uniswaps Layer-2-Netzwerk Unichain hinweg entleert hatte.
Ausgenutzte Schwachstelle bei der Verteilung der Liquidität
Der Angriff zielte auf eine kritische Schwachstelle in Bunnis proprietärer Liquidity Distribution Function, einem Mechanismus zur Optimierung der Renditen für Liquiditätsanbieter, indem Kapital dynamisch über verschiedene Preisspannen zugeteilt wird. Sicherheitsfirmen CertiK und Halborn führten den Exploit auf ausgeklügelte Rundungsfehler zurück, die Angreifern ermöglichten, interne Berechnungen durch Flash Loan Angriffe zu manipulieren.
Halborns Post-mortem-Analyse ergab, dass die Schwachstelle aus einer unerwarteten Konsequenz in der Rückzugsfunktion des Protokolls resultierte. Entwickler hatten fälschlicherweise angenommen, dass das Abrunden eines Schlüsselwertes nach unten die Leerlaufguthaben erhöhen würde, aber das Gegenteil trat ein - es ermöglichte Angreifern, unverhältnismäßige Mengen an Token abzuheben, während ein minimaler Teil der Liquidität verbrannt wurde.
Die Hacker führten sorgfältig kalibrierte Trades mit spezifischen Beträgen durch, die Bunnis Neuausgleichsberechnungen verwirrten und schrittweise ungefähr 2,4 Millionen Dollar von Ethereum und 6 Millionen Dollar von Unichain abgezogen, bevor sie die gestohlenen Vermögenswerte - hauptsächlich USDC und USDT Stablecoins - in Ethereum-Wallets zusammenführten.
Meteoritischer Aufstieg abrupt beendet
Die Schließung stellt eine dramatische Umkehrung für eine Plattform dar, die in den Monaten vor der Attacke ein explosives Wachstum erlebt hatte. Nach Daten von DeFiLlama stieg der Gesamtsperrwert von Bunni von lediglich 2,23 Millionen Dollar Mitte Juni 2025 auf fast 80 Millionen Dollar bis zum 19. August - eine 35-fache Steigerung, die den starken Marktappetit für seine innovative automatische Market Maker-Technologie demonstrierte.
Die Plattform hatte Sicherheitsüberprüfungen durch renommierte Firmen wie Trail of Bits und Cyfrin durchlaufen.
Es bleibt jedoch unklar, ob die ausgenutzte Schwachstelle in diesen Überprüfungen identifiziert oder durch nachfolgende Codeänderungen eingeführt wurde - ein häufiges Risiko in sich schnell entwickelnden DeFi-Protokollen, bei denen die Teams häufig intelligente Verträge aktualisieren, um Funktionen hinzuzufügen oder die Leistung zu optimieren.
Prohibitive Erholungskosten
In ihrer Schließungsankündigung erklärte das Bunni-Team, dass ein sicherer Neustart der Operationen erhebliche Investitionen in umfassende Sicherheitsüberprüfungen, kontinuierliche Überwachungsinfrastruktur und monatelange Geschäfts- und Entwicklungsarbeit erfordern würde, um das Vertrauen der Nutzer zurückzugewinnen und die Liquidität wiederherzustellen.
"Der kürzliche Exploit hat Bunnis Wachstum gestoppt, und um einen sicheren Neustart zu gewährleisten, müssten wir allein zwischen 6 und 7 Ziffern in Audit- und Überwachungskosten investieren - Kapital, das wir einfach nicht haben," erklärte das Team in ihrem Post auf X. "Es ist mit schwerem Herzen, dass wir die Schließung von Bunni bekannt geben."
Laut Bunnis Post-mortem-Bericht wurden die gestohlenen Vermögenswerte bereits durch Tornado Cash gewaschen, was die Erholungsbemühungen erheblich erschwert. Das Team bot den Angreifern eine Prämie von 10 % an, um die verbleibenden Mittel zurückzugeben, während sie weiterhin mit den Strafverfolgungsbehörden zusammenarbeiten.
Benutzerfonds-Auszahlungen und Treasury-Verteilung
Trotz der Schließung bestätigte Bunni, dass Benutzer ihre verbleibenden Vermögenswerte noch über die offizielle Website abheben können, bis weitere Mitteilungen erfolgen. Das Projekt plant, die verbleibenden Treasury-Fonds an Inhaber von BUNNI-, LIT- und veBUNNI-Token basierend auf einem Snapshot zu verteilen, der Teammitglieder ausschließt - wodurch sichergestellt wird, dass Gemeinschaftsmitglieder und nicht Insider jeglichen verbleibenden Wert erhalten.
In einer letzten Geste für das breitere DeFi-Ökosystem, hat Bunni seine V2 Smart Contracts relicenziert von der restriktiven Business Source License auf die großzügige MIT Open-Source-Lizenz.
Diese Entscheidung macht die Innovationen der Plattform - inklusive Liquidity Distribution Functions, Zuschlagsgebühren und automatischen Neuausgleichsmechanismen - für andere Entwickler frei verfügbar, um sie zu integrieren und darauf aufzubauen.
Zweite DeFi-Schließung in 48 Stunden
Bunnis Schließung kam nur einen Tag nach einem weiteren bedeutenden Projektaustritt, der den Kryptowährungssektor erschütterte. Die Kadena Foundation kündigte am Dienstag an, dass sie alle Geschäftstätigkeiten sofort einstellen und aufhören wird, das Kadena Blockchain-Netzwerk zu warten, unter Berufung auf widrige Marktbedingungen, die eine kontinuierliche Entwicklung unhaltbar machten.
Gegründet von ehemaligen JPMorgan-Blockchain-Ingenieuren Stuart Popejoy und Will Martino, startete Kadena im Jahr 2019 als Proof-of-Work-Alternative zu Ethereum und versprach Unternehmensgrade Skalierbarkeit durch eine einzigartige "geflochtene" Multichain-Architektur. Auf seinem Höhepunkt im November 2021 wurde KDA über $27 gehandelt und das Projekt erreichte eine Bewertung von mehr als $4 Milliarden.
Der native KDA-Token stürzte jedoch um mehr als 60 % ab - von etwa $0,23 bis unter $0,10 - innerhalb von 90 Minuten nach der Schließungsankündigung, wodurch fast $268 Millionen in Marktkapitalisierung ausgelöscht wurden. Der Token ist jetzt über 99% von seinem Allzeithoch abgestürzt und wird zur Pressezeit nahe $0,085 gehandelt.
Während die Kadena-Blockchain weiterhin durch unabhängige Miner und Gemeinschaftsentwickler betrieben wird - mit 566 Millionen KDA verbleiben als Mining-Belohnung bis 2139 zugeteilt - lässt der Verlust des Kernentwicklungsteams die Zukunft des Netzwerks unsicher.
Größere Sicherheitskrise
Die aufeinanderfolgenden Schließungen unterstreichen steigende Belastungen, mit denen kleinere Blockchain-Projekte inmitten herausfordernder Marktbedingungen und unerbittlichen Sicherheitsbedrohungen konfrontiert sind. Der Bunni-Angriff passt in ein beunruhigendes Muster von DeFi-Exploits, wobei allein im August 2025 über $163 Millionen durch 16 separate Vorfälle gestohlen wurden - ein Anstieg von 15 % gegenüber dem Vormonat.
Die Kryptowährungsindustrie hat in den letzten zwei Monaten mehr als $300 Millionen an Hacks und Betrügereien verloren, wobei der DeFi-Sektor überproportionale Verluste erlitten hat. Sicherheitsexperten stellen fest, dass Angreifer zunehmend ausgeklügelter werden und oft neuere Protokolle mit komplexen benutzerdefinierten Mechanismen ins Visier nehmen, die Angriffsflächen schaffen, die in kampferprobten Standardimplementierungen nicht vorhanden sind.
Für das breitere DeFi-Ökosystem dienen diese Schließungen als ernüchternde Erinnerung daran, dass technische Innovation allein nicht das Überleben garantieren kann. Projekte müssen ehrgeizige Funktionsentwicklungen mit rigorosen Sicherheitspraktiken in Einklang bringen, ausreichende finanzielle Reserven für unerwartete Krisen aufrechterhalten und in einem zunehmend wettbewerbsintensiven Umfeld navigieren, in dem das Vertrauen der Nutzer - einmal verloren - außerordentlich schwer wiederherzustellen ist.