Eine auf Uniswap V4-Technologie aufgebaute dezentrale Börse hat angekündigt, dass sie nach einem Sicherheitsvorfall über 8,4 Millionen Dollar, der die Reserven erschöpfte, dauerhaft geschlossen wird, da das Entwicklungsteam nicht über die erforderlichen Mittel für eine Neulancierung verfügt. Bunni DEX sagte den Nutzern, dass sie verbleibende Vermögenswerte abheben können, aber die Kassen des Unternehmens unter den Token-Inhabern aufgeteilt werden, während das Unternehmen seine Geschäfte einstellt.
Wissenswertes:
- Hacker nutzten das benutzerdefinierte Liquiditätssystem von Bunni DEX am 2. September aus, indem sie Flash-Darlehen verwendeten, um Berechnungen zu manipulieren und so Gelder im gesamten Ethereum- und Unichain-Netzwerk abzuziehen, trotz vorheriger Sicherheitsprüfungen.
- Der gesamte gesperrte Wert der Plattform war vor dem Angriff von 2,2 Millionen Dollar auf fast 80 Millionen Dollar gestiegen, bevor der Angriff monatelange Fortschritte in Sekunden zunichte machte.
- Die Schließung fügt sich in ein besorgniserregendes Jahr für dezentrale Finanzen, mit über 3,1 Milliarden Dollar, die laut der Sicherheitsfirma Hacken im Jahr 2025 durch Exploits verloren gegangen sind.
Exploit-Details und finanzielle Folgen
Der Angriff zielte auf Bunni's Liquidity Distribution Function ab, einen proprietären Mechanismus, den das Team entwickelt hatte, um die Handelsliquidität zu optimieren. Angreifer nutzten Flash-Darlehen – temporäre, unbesicherte Darlehen, die innerhalb derselben Blockchain-Transaktion zurückgezahlt werden müssen – um die internen Berechnungen der Plattform zu manipulieren. Dies löste Rundungsfehler aus, die es den Angreifern ermöglichten, systematisch Mittel abzuziehen.
Sowohl Trail of Bits als auch Cyfrin hatten zuvor Sicherheitsüberprüfungen des Bunni-Codes durchgeführt. Die Sicherheitslücke auf der Logik-Ebene blieb jedoch von beiden Firmen unentdeckt.
Das Team stoppte alle Smart Contracts sofort nach der Entdeckung des Angriffs.
Sie posteten auf X, dass die Neulancierung der Plattform sechs bis siebenstellige Beträge für umfassende Prüfungen und Überwachungssysteme erfordern würde. "Um sicher neu zu starten, bräuchten wir sechs bis siebenstellige Beträge für Prüfungen und Überwachung, Kapital, das wir einfach nicht haben", schrieb das Team.
Der Bunni-Treasury wird unter den Inhabern der BUNNI-, LIT- und veBUNNI-Token verteilt. Das Entwicklungsteam erklärte, dass es sich von jeglichen Entschädigungszahlungen ausschließen würde. Nutzern wurde geraten, ihre verbleibenden Vermögenswerte "bis auf weiteres" abzuheben.
Vor der Schließung relizensierte das Team seine Smart Contracts der Version 2 von der Business Source License auf MIT. Dadurch wird die Technologie der Plattform – einschließlich der Liquiditätsverteilungsfunktionen, der Hochgebühren und der autonomen Rebalancing-Funktionen – für andere Entwickler zugänglich gemacht.
Branchenimplikationen und Sicherheitsbedenken
Der Zusammenbruch der Plattform unterstreicht die anhaltenden Schwachstellen in dezentralen Finanzprotokollen. Bunni hatte in den Monaten vor dem Angriff ein rapides Wachstum erlebt, wobei Daten von DeFiLlama zeigten, dass sein gesamter gesperrter Wert von 2,2 Millionen Dollar auf fast 80 Millionen Dollar gestiegen war. Der Einbruch eliminierte diesen Fortschritt in Sekunden.
Flash-Darlehensangriffe sind zu einem wiederkehrenden Problem in dezentralen Finanzen geworden. Diese Exploits nutzen die Tatsache aus, dass Blockchain-Transaktionen atomar ausgeführt werden – das heißt, alle Operationen innerhalb einer Transaktion werden entweder erfolgreich abgeschlossen oder vollständig verworfen. Angreifer leihen sich große Summen, manipulieren Preise oder Berechnungen, profitieren von der Manipulation, zahlen das Darlehen zurück und stecken die Differenz ein, alles innerhalb einer einzigen Transaktion.
Der Verlust von 8,4 Millionen Dollar bei Bunni stellt nur einen Bruchteil der Schäden dar, die dieses Jahr im dezentralen Finanzsektor zu verzeichnen sind.
Sicherheitsforscher von Hacken meldeten über 3,1 Milliarden Dollar an Gesamtschäden durch Exploits im Jahr 2025.
Der Vorfall könnte Entwickler dazu veranlassen, die Art und Weise zu überdenken, wie sie benutzerdefinierte Smart-Contract-Logik einsetzen. Branchenbeobachter schlagen vor, dass Plattformen wahrscheinlich ihre Ausgaben für Sicherheitsüberprüfungen erhöhen, Echtzeit-Überwachungssysteme implementieren und Bug-Bounty-Programme erweitern werden, die Forschern Geld zahlen, um Schwachstellen zu identifizieren, bevor Angreifer diese ausnutzen können.
Schlüsselbegriffe in der dezentralen Finanzierung
Der gesamte gesperrte Wert bezieht sich auf die Menge an Kryptowährung, die in ein dezentrales Finanzprotokoll eingezahlt wurde und als Maß für die Größe der Plattform und das Vertrauen der Nutzer dient. Flash-Darlehen sind unbesicherte Darlehen, die innerhalb derselben Blockchain-Transaktion aufgenommen und zurückgezahlt werden müssen, die typischerweise für Arbitrage verwendet werden, aber auch von Angreifern ausgenutzt werden. Smart Contracts sind selbstausführende Programme auf Blockchains, die automatisch die Bedingungen einer Vereinbarung ohne Vermittler durchsetzen.
Liquiditätsverteilungsfunktionen verwalten, wie Handelsliquidität über verschiedene Preisbereiche in einer dezentralen Börse verteilt wird, um die Kapitaleffizienz sowohl für Händler als auch für Liquiditätsanbieter zu verbessern.
Abschließende Gedanken
Der Bunni DEX-Rückzug verdeutlicht die finanziellen und technischen Herausforderungen, denen dezentrale Finanzplattformen nach großen Sicherheitsverletzungen gegenüberstehen. Die Entscheidung des Teams, seine Technologie vor der Schließung als Open Source freizugeben, könnte es anderen Entwicklern ermöglichen, aus den Schwachstellen der Plattform zu lernen, um künftige Projekte zu entwickeln.