Децентралізована біржа, яка швидко зросла до управління активами майже на $80 мільйонів, цього тижня оголосила про своє постійне закриття, ставши другим великим криптопроектом, який припинив діяльність протягом 48 годин через фінансовий тиск та вразливості в безпеці, які продовжують ускладнювати сектор цифрових активів.
Bunni, децентралізована біржа, побудована на технології Uniswap V4, підтвердила в середу, що не може дозволити собі шестизначні чи семизначні витрати, необхідні для безпечного перезапуску платформи після руйнівного експлойту 2 вересня, що вивів $8,4 мільйона з пулів ліквідності в мережі Ethereum та Uniswap's Unichain масштабу layer-2.
Експлуатація вразливості розподілу ліквідності
Атака націлилася на критичну вразливість у власній функції розподілу ліквідності Bunni, механізмі, призначеному для оптимізації прибутків для постачальників ліквідності шляхом динамічного розподілу капіталу по різних діапазонах цін. Безпекові фірми CertiK та Halborn відстежили експлойт до складних помилок округлення, що дозволили нападникам маніпулювати внутрішніми розрахунками через флеш-кредитні атаки.
Постмортемний аналіз Halborn показав, що вразливість виникла внаслідок несподіваного наслідку у функції виводу протоколу. Розробники неправильно припустили, що округлення ключової величини донизу збільшить незайняті баланси, але сталося навпаки - це дозволило нападникам виводити непропорційно великі суми токенів, знищуючи мінімальну ліквідність.
Хакери виконали ретельно відкалібровані операції, використовуючи конкретні суми, що плутали обчислення ребалансування Bunni, поступово виводячи близько $2,4 мільйона з Ethereum та $6 мільйонів з Unichain перед консолідацією викрадених активів - в основному, стабільнокоїнів USDC та USDT - у гаманці Ethereum.
Метеоричний ріст обірвано
Закриття означає драматичний реверс для платформи, що зазнала вибухового зростання протягом місяців до атаки. За даними DeFiLlama, загальна вартість Bunni, заблокована, зросла з лише $2,23 мільйона в середині червня 2025 року до майже $80 мільйонів до 19 серпня - це 35-кратне зростання, яке підкреслило сильний попит ринку на її інноваційні технології автоматизованого маркетмейкера.
Платформа пройшла аудити безпеки поважними фірмами, включаючи Trail of Bits та Cyfrin.
Однак незрозуміло, чи було виявлено експлуатовану вразливість у цих оглядах чи вона була впроваджена через наступні зміни в коді - це загальний ризик у швидко еволюціонуючих протоколах DeFi, де команди часто оновлюють смарт-контракти, щоб додати нові функції або оптимізувати продуктивність.
Непомірні витрати на відновлення
У своєму оголошенні про закриття команда Bunni пояснила, що безпечний перезапуск операцій вимагав би значних інвестицій у вичерпні аудити безпеки, інфраструктуру безперервного моніторингу і місяці роботи з розвитку бізнесу для відновлення довіри користувачів і відновлення ліквідності.
"Недавній експлойт змусив ріст Bunni зупинитися, і для безпечного перезапуску нам довелося б заплатити від 6 до 7 цифр лише за аудит та контроль - це капітал, якого у нас просто немає," заявила команда у своєму дописі на X." З засмученим серцем ми оголошуємо про закриття Bunni."
Згідно з постмортем-аналізом Bunni, викрадені активи вже були випрані через Tornado Cash, що значно ускладнило зусилля з відновлення. Команда запропонувала нападникам 10% винагороди за повернення залишених коштів, продовжуючи співпрацю з правоохоронними органами.
Виведення коштів користувачів і розподіл казни
Незважаючи на закриття, Bunni підтвердив, що користувачі все ще можуть виводити свої залишкові активи через офіційний вебсайт до подальших повідомлень. Проект планує розподілити залишкові кошти казни серед власників токенів BUNNI, LIT та veBUNNI на основі знімка, що виключає членів команди - гарантуючи, що члени спільноти, а не інсайдери, отримають будь-яку залишкову вартість.
У фінальному жесті до ширшої екосистеми DeFi, Bunni перевідкрив свої V2 смарт-контракти з обмежувальної ліцензії Business Source на дозволяючу ліцензію MIT з відкритим кодом.
Це рішення робить інновації платформи - включаючи функції розподілу ліквідності, хвильові комісії та автономні механізми ребалансування - доступними для інших розробників для інтеграції та розбудови.
Друге закриття DeFi за 48 годин
Закриття Bunni відбулося всього за один день після того, як інший значний проект покинув криптовалютний сектор. Фонд Kadena оголосив у вівторок, що негайно зупинить усі бізнес-операції та припинить підтримувати мережу блокчейнів Kadena, посилаючись на несприятливі ринкові умови, які зробили продовження розвитку нездійсненним.
Заснований колишніми інженерами блокчейнів JPMorgan Стюартом Поп жієм та Віллом Мартіно, Kadena запустився у 2019 році як альтернатива Ethereum з доказами роботи, обіцяючи підприємницькі масштаби завдяки унікальній "плетеній" архітектурі багатоланцюговий. На піку в листопаді 2021 року KDA торгувався вище $27, а проект досяг оцінки понад $4 мільярди.
Однак, рідний токен KDA обвалився на понад 60% - з близько $0,23 до нижче $0,10 - протягом 90 хвилин після оголошення про закриття, стираючи майже $268 мільйонів у ринковій капиталізації. Зараз токен обвалився на понад 99% від свого історичного максимуму, торгуючись близько $0,085 на момент публікації.
Хоча блокчейн Kadena продовжуватиме функціонувати через незалежних майнерів і розробників спільноти - з залишками 566 мільйонів KDA, призначеними для нагород за майнінг до 2139 року - втрата основної команди розробників фактично залишає мережу з невизначеним майбутнім.
Ширша криза безпеки
Напади, спорадичні зупинки підкреслюють збільшувальний тиск, з яким стикаються менші блокчейн-проекти в умовах важкого ринку і безупинних загроз безпеці. Атака на Bunni втілює в собі тривожну модель експлойтів DeFi, коли лише в серпні 2025 року було вкрадено понад $163 мільйонів у 16 окремих інцидентах, що на 15% більше ніж попереднього місяця.
Криптовалютна індустрія втратила понад $300 мільйонів у результаті хакерств та шахрайств за останні два місяці, причому сектор DeFi несе непропорційні втрати. Експерти з безпеки зазначають, що нападники стають дедалі складнішими, часто націлюючись на новіші протоколи з комплексними механізмами, які створюють вразливі місця, відсутні в перевірених стандартних реалізаціях.
Для більш широкої екосистеми DeFi ці закриття служать тверезими нагадуваннями про те, що технічні інновації самі по собі не можуть гарантувати виживання. Проекти повинні балансувати амбітний розвиток функцій з суворими практиками безпеки, підтримувати адекватні фінансові резерви для непередбачених криз і долати дедалі суворіший ландшафт, де довіру користувачів - одного разу втрачену - надзвичайно важко відновити.