Uniswap V4 teknolojisi üzerine inşa edilmiş merkeziyetsiz bir borsa, $8.4 milyonluk bir güvenlik ihlali sonrasında rezervlerinin tükendiğini ve yeniden başlatma için gereken fonların olmadığını belirterek duyurdu kalıcı olarak kapanacağını açıkladı. Bunni DEX, kullanıcılarına kalan varlıklarını çekebileceklerini söyledi ancak platformun hazinesi, operasyonların sona ermesiyle birlikte token sahipleri arasında dağıtılacak.
Bilinmesi Gerekenler:
- 2 Eylül'de Bunni DEX'in özel likidite sistemini kullanarak flash kredileriyle hesaplamaları manipüle eden saldırganlar, Ethereum ve Unichain ağlarında fonları boşalttı, önceden yapılmış güvenlik denetimlerine rağmen.
- Platformun kilitli toplam değeri, saldırıdan önce $2.2 milyon seviyesinden neredeyse $80 milyon seviyesine yükselmişti.
- Kapanış, merkeziyetsiz finans için sorunlu bir yıla işaret ediyor; 2025'te güvenlik firması Hacken'a göre $3.1 milyardan fazla kayıp yaşandı.
Saldırı Detayları ve Finansal Sonuçlar
İhlal, Bunni'nin Ticaret Likidite Dağıtım Fonksiyonunu hedef aldı. Saldırganlar, geçici, teminatsız ve aynı blok zinciri işlemi içinde geri ödenmesi gereken flash kredilerini kullanarak, platformun dahili hesaplamalarını manipüle etti. Bu işlem bütününde ya başarıyla sonuçlanan ya da tamamen başarısız olan işlemlere atomik olarak izin veren blok zinciri davranışından yararlandı. Saldırganlar, büyük meblağlar ödünç aldı, fiyatları veya hesaplamaları manipüle etti, manipülasyonlar üzerinden kazanç sağladı, krediyi geri ödedi ve farkı ceplerine attı, tümü tek bir işlemde.
Trail of Bits ve Cyfrin, saldırıdan önce Bunni'nin kodu üzerinde güvenlik denetimi gerçekleştirmişti. Ancak, mantık seviyesi güvensizliği, her iki firma tarafından gözden kaçırıldı.
Ekip, ihlali keşfettikten hemen sonra tüm akıllı kontratları durdurdu.
X'te yeniden başlatmanın kapsamlı denetimler ve izleme sistemleri için altı ila yedi rakam talep ettiğini belirten bir yazı paylaştılar. "Güvenli bir yeniden başlatma için gerekli sermaye olan denetimler ve izleme için altı ila yedi rakam gerekirdi, ancak bu sermaye elimizde yok," diye yazdı ekip.
Bunni'nin hazinesi, BUNNI, LIT ve veBUNNI token sahiplerine dağıtılacak. Geliştirme ekibi, kendilerini hiçbir tazminat ödemesinden hariç tutacaklarını açıkladı. Kullanıcılara, varlıklarını "yeni bir duyuruya kadar" çekmeleri söylendi.
Kapanmadan önce, ekip ikinci versiyon akıllı kontratlarını Business Source Lisansından MIT'e değiştirdi. Bu, platformun teknolojisini — likidite dağıtım fonksiyonları, dalgalanma ücretleri ve özerk yeniden dengeleme özellikleri dahil — diğer geliştiricilere açar.
Endüstri İçin Çıkarsamalar ve Güvenlik Endişeleri
Platformun çöküşü, merkeziyetsiz finans protokollerinde devam etmekte olan zafiyetleri vurguluyor. Bunni, saldırı öncesi aylarda hızlı bir büyüme yaşamıştı ve DeFiLlama'dan alınan veriler, kilitli toplam değerinin $2.2 milyon seviyesinden neredeyse $80 milyon seviyesine çıktığını gösteriyordu. İhlal, bu ilerlemeyi saniyeler içinde ortadan kaldırdı.
Flash kredi saldırıları, merkeziyetsiz finans alanında tekrarlayıcı bir sorun haline geldi. Blok zinciri işlemlerinin atomik olarak gerçekleşmesi nedeniyle avantajını kullanan bu saldırılar, büyük meblağlar ödünç alarak fiyatları veya hesaplamaları manipüle eder, manipülasyonlardan kâr elde eder, krediyi geri öder ve farkı cebine atar, hepsi tek bir işlem içinde tamamlanır.
Bunni'deki $8.4 milyon kayıp, bu yıl merkeziyetsiz finans sektöründe görülen zararların sadece bir kısmını temsil ediyor.
Güvenlik araştırmacıları, 2025'te Hacken tarafından bildirilen sömürülere bağlı toplam kayıpların $3.1 milyar olduğunu bildirdi.
Olay, geliştiricilerin özelleştirilmiş akıllı kontrat mantığını nasıl dağıttıklarını yeniden gözden geçirmelerini teşvik edebilir. Sektör gözlemcileri, platformların güvenlik denetimlerine daha fazla harcama yapacağını, gerçek zamanlı izleme sistemlerini uygulayacağını ve saldırganlar, onları istismar edemeden zafiyetleri belirlemek için araştırmacılara ödeme yapan ödül programlarını genişletmeleri gerektiğini öne sürüyor.
Merkeziyetsiz Finansın Anahtar Terimleri
Toplam kilitli değer, bir merkeziyetsiz finans protokolüne yatırılan kripto para miktarına atıfta bulunur ve platformun büyüklüğünü ve kullanıcı güvenini ölçmek için kullanılır. Flash krediler, borçlanılan ve aynı blok zinciri işlemi içinde geri ödenmesi gereken teminatsız kredilerdir; genellikle arbitraj için kullanılır, ancak saldırganlar tarafından da kötüye kullanılır. Akıllı kontratlar, blok zincirleri üzerinde çalışan ve ara bulucuya gerek kalmadan anlaşma şartlarını otomatik olarak uygulayan kendi kendine çalışan programlardır.
Likidite dağıtım fonksiyonları, merkeziyetsiz bir borsada ticaret likiditesinin farklı fiyat aralıklarında nasıl tahsis edileceğini yönetir ve hem tüccarlar hem de likidite sağlayıcıları için sermaye verimliliğini artırmak amacı güder.
Son Düşünceler
Bunni DEX'in kapanışı, büyük güvenlik ihlalleri sonrası merkeziyetsiz finans platformlarının karşılaştığı finansal ve teknik zorlukları göstermektedir. Ekibin, kapanmadan önce teknolojisini açık kaynak haline getirme kararı, diğer geliştiricilerin platformun zafiyetlerinden ders almasına ve gelecekteki projelerini yapılandırmasına olanak tanıyabilir.