Zdecentralizowana giełda, która szybko się rozwinęła, zarządzając prawie 80 milionami dolarów w zablokowanych aktywach, ogłosiła w tym tygodniu swoje stałe zamknięcie, stając się drugim dużym projektem kryptowalutowym, który zakończył działalność w ciągu 48 godzin, podczas gdy naciski finansowe i zagrożenia związane z bezpieczeństwem nadal nękają sektor aktywów cyfrowych.
Bunni, zdecentralizowana giełda zbudowana na technologii Uniswap V4, potwierdziła w środę, że nie może sobie pozwolić na koszty w wysokości sześciu do siedmiu cyfr, wymagane do bezpiecznego ponownego uruchomienia platformy po niszczycielskim 2 września ataku, który opróżnił 8,4 miliona dolarów z puli płynności na Ethereum i sieci Uniswap layer-2 Unichain.
Lukę bezpieczeństwa w dystrybucji płynności wykorzystano
Atak skierowany był na krytyczną wadę w funkcji dystrybucji płynności Bunni, mechanizmie zaprojektowanym do optymalizacji zwrotów dla dostawców płynności poprzez dynamiczne przydzielanie kapitału w różnych przedziałach cenowych. Firmy zabezpieczające CertiK i Halborn śledziły exploita do zaawansowanych błędów zaokrągleń, które pozwalały atakującym manipulować wewnętrznymi obliczeniami za pomocą ataków typu flash loan.
Post-mortem analiza Halborn ujawniła, że luka wynikała z nieoczekiwanego skutku w funkcji wypłaty protokołu. Deweloperzy błędnie założyli, że zaokrąglenie istotnej wartości w dół zwiększy saldo bezczynne, ale stało się przeciwnie - umożliwiając atakującym wypłatę nieproporcjonalnych ilości tokenów przy minimalnym paleniu płynności.
Hakerzy przeprowadzili starannie skalibrowane transakcje, używając określonych kwot, które wprowadziły w błąd kalkulacje ponownego balansowania Bunni, stopniowo opróżniając około 2,4 miliona dolarów z Ethereum i 6 milionów dolarów z Unichain, zanim skonsolidowali skradzione aktywa - głównie stablecoiny USDC i USDT - do portfeli Ethereum.
Błyskawiczny wzrost przerwany
Zamknięcie oznacza dramatyczną zmianę dla platformy, która doświadczyła eksplozji wzrostu w miesiącach poprzedzających atak. Zgodnie z danymi DeFiLlama, całkowita wartość Bunni wzrosła z zaledwie 2,23 miliona dolarów w połowie czerwca 2025 roku do blisko 80 milionów dolarów do 19 sierpnia - 35-krotny wzrost, podkreślający duży popyt rynkowy na jej innowacyjną technologię zautomatyzowanego producenta rynku.
Platforma poddała się audytom bezpieczeństwa przez renomowane firmy, w tym Trail of Bits i Cyfrin.
Jednak nie jest jasne, czy wykorzystana luka została zidentyfikowana w tych przeglądach, czy została wprowadzona poprzez późniejsze zmiany w kodzie - co jest częstym ryzykiem w szybko ewoluujących protokołach DeFi, gdzie zespoły często aktualizują inteligentne kontrakty, aby dodawać funkcje lub optymalizować wydajność.
Prohibicyjne koszty odzyskiwania
W ogłoszeniu o zamknięciu zespół Bunni wyjaśnił, że aby ponownie uruchomić operacje w bezpieczny sposób, potrzebna byłaby znacząca inwestycja w kompleksowe audyty bezpieczeństwa, infrastruktura ciągłego monitorowania i miesiące pracy nad rozwojem biznesu, aby odbudować zaufanie użytkowników i przywrócić płynność.
"Niedawny exploit zmusił rozwój Bunni do zatrzymania się, a żeby bezpiecznie ponownie uruchomić, musielibyśmy płacić 6-7-cyfrowe sumy na audyty i monitorowanie - co wymaga kapitału, którego po prostu nie mamy," oświadczył zespół w swoim poście na X. "Z ciężkim sercem ogłaszamy zamknięcie Bunni."
Według raportu post-mortem Bunni, skradzione aktywa zostały już wyprane przez Tornado Cash, co znacząco komplikuje wysiłki odzyskiwania. Zespół zaoferował atakującym 10% nagrody za zwrot pozostałych funduszy, jednocześnie kontynuując współpracę z agencjami ścigania.
Wypłaty środków użytkowników i dystrybucja skarbu
Pomimo zamknięcia, Bunni potwierdziło, że użytkownicy nadal mogą wypłacać swoje pozostałe aktywa przez oficjalną stronę internetową aż do odwołania. Projekt planuje dystrybucję pozostałych środków skarbu do posiadaczy tokenów BUNNI, LIT i veBUNNI na podstawie migawki, która wykluczy członków zespołu - zapewniając, że członkowie społeczności, a nie osoby wtajemniczone, otrzymają jakąkolwiek resztkową wartość.
W ostatnim geście skierowanym do szerszego ekosystemu DeFi Bunni zmieniło licencję swoich inteligentnych kontraktów V2 z restrykcyjnej Licencji Biznesowej Source na bardziej liberalną licencję open-source MIT.
Decyzja ta sprawia, że innowacje platformy - w tym funkcje dystrybucji płynności, opłaty za szczyt i autonomiczne mechanizmy ponownego balansowania - są swobodnie dostępne dla innych deweloperów do integracji i rozwijania.
Drugie zamknięcie DeFi w 48 godzin
Zamknięcie Bunni nastąpiło zaledwie dzień po tym, jak kolejna znacząca projekt ogłosił zakończenie działalności kryptowalutowego sektora. Fundacja Kadena ogłosiła we wtorek, że natychmiast przerwie wszystkie operacje biznesowe i przestanie utrzymywać sieć blockchain Kadena, wskazując na niekorzystne warunki rynkowe, które uniemożliwiały dalszy rozwój.
Założona przez byłych inżynierów blockchain JPMorgan, Stuart Popejoy i Will Martino, Kadena została uruchomiona w 2019 roku jako alternatywa proof-of-work dla Ethereu, obiecując skalowalność klasy korporacyjnej dzięki unikalnej architekturze wielochainowej "plecionki". Na szczycie w listopadzie 2021 roku KDA było notowane po ponad 27 dolarów, a wycena projektu przekroczyła 4 miliardy dolarów.
Jednak notowana natywna moneta KDA spadła o ponad 60% - z około 0,23 USD do poniżej 0,10 USD - w ciągu 90 minut od ogłoszenia zamknięcia, wymazując niemal 268 milionów dolarów kapitalizacji rynkowej. Moneta spadła teraz o ponad 99% od najwyższego poziomu, handlując obecnie blisko 0,085 USD w czasie publikacji.
Podczas gdy blockchain Kadena będzie nadal działać dzięki niezależnym górnikom i deweloperom społecznościowym - z 566 milionami KDA dalej przyznawanymi na nagrody za kopanie do 2139 roku - utrata głównego zespołu deweloperskiego skutecznie pozostawia przyszłość sieci niepewną.
Szerszy kryzys bezpieczeństwa
Kolejne zamknięcia podkreślają rosnące naciski, przed jakimi stoją mniejsze projekty blockchain w warunkach wyzwań związanych z rynkiem i nieustannymi zagrożeniami bezpieczeństwa. Atak na Bunni wpisuje się w niepokojący wzorzec exploitów DeFi, tylko w sierpniu 2025 roku ponad 163 milionów dolarów zostało skradzionych w 16 odrębnych incydentach - o 15% więcej niż w poprzednim miesiącu.
Branża kryptowalutowa straciła ponad 300 milionów dolarów na atakach i oszustwach w ciągu ostatnich dwóch miesięcy, przy czym sektor DeFi ponosi nieproporcjonalne straty. Eksperci ds. bezpieczeństwa zauważają, że atakujący stają się coraz bardziej zaawansowani, często celując w nowe protokoły z skomplikowanymi mechanizmami, które tworzą powierzchnie ataku, nieobecne w wypróbowanych standardowych implementacjach.
Dla szerszego ekosystemu DeFi te zamknięcia służą jako trzeźwiące przypomnienia, że sama innowacja techniczna nie może zagwarantować przetrwania. Projekty muszą równoważyć ambitne rozwijanie funkcji z rygorystycznymi praktykami bezpieczeństwa, utrzymywać odpowiednie rezerwy finansowe na nieoczekiwane kryzysy i nawigować w coraz bardziej konkurencyjnym krajobrazie, w którym zaufanie użytkownika - raz utracone - okazuje się niezwykle trudne do odbudowy.