一個以 Uniswap V4 技術構建的去中心化交易所 宣佈 因 840 萬美元安全漏洞導致儲備被榨乾,團隊缺乏重啟所需資金,決定永久關閉。Bunni DEX 通知用戶可提取剩餘資產,平台金庫將在公司結束運作時分配給代幣持有人。
事件重點:
- 黑客於 9 月 2 日利用閃電貸攻擊 Bunni DEX 的自定義流動性系統,操控計算,導致以太坊及 Unichain 網絡資金被榨乾,儘管事前進行過安全審計。
- 平台的總鎖倉價值(TVL)曾由 220 萬美元迅速增至近 8,000 萬美元,但攻擊一瞬間抹去數月增長成果。
- 此次關閉為去中心化金融動盪一年再添陰影,安全公司 Hacken 指 2025 年 DeFi 領域已被黑超過 31 億美元。
攻擊詳情及財務影響
今次漏洞針對 Bunni 的流動性分配功能,這是團隊為優化交易流動性所開發的專有機制。攻擊者利用閃電貸(即必須同一筆交易中即借即還的無擔保貸款)操縱平台內部計算,觸發四捨五入錯誤,系統性抽走大量資金。
Bunni 在攻擊前曾經由 Trail of Bits 和 Cyfrin 進行安全審計,但兩間公司都未發現這類邏輯性漏洞。
團隊在發現漏洞後即時暫停所有智能合約。
他們在 X 平台公佈,若要安全重啟,必須投入六至七位數的資金進行完整審計與監控。「要安全重啟,我們須要六至七位數的審計及監控資本,但我們確實沒有這筆錢。」團隊如此表示。
Bunni 的金庫將分配予 BUNNI、LIT 及 veBUNNI 代幣持有人。開發團隊表示不會參與任何賠償。用戶被告知要「即時提取」他們的剩餘資產。
關閉平台前,團隊已將 V2 版本智能合約從商業源碼授權(Business Source License)改為 MIT 授權。此舉令相關技術,包括流動性分配功能、激增費用及自動重平衡功能,向其他開發者開放。
行業影響及安全憂慮
Bunni 的倒閉,再次暴露了去中心化金融協議的固有漏洞。平台受攻擊前數月增長迅速,根據 DeFiLlama 資料,其鎖倉總值由 220 萬美金升至近 8,000 萬,今次攻擊在數秒內毀於一旦。
閃電貸攻擊已成 DeFi 頻繁問題。由於區塊鏈交易具「不可分割執行」特性(即整批操作只要一環失敗就全數失敗),攻擊者可瞬間借巨額資金、操中國價格或計算、從中利潤套利、再於同筆交易還款,瞬間圖利。
Bunni 所失 840 萬美金只屬今年去中心化金融被攻擊損失的一小部份。
安全研究公司 Hacken 指 2025 年有關漏洞事件致損總共逾 31 億美元。
此事件或令開發者重新檢討自訂智能合約邏輯部署的方式。業內觀察家認為,各平台將會加大安全審計投入,加入實時監控系統,亦會擴展懸賞漏洞獎勵計劃,鼓勵研究人員預早發現漏洞。
去中心化金融重要術語
鎖倉總值(Total value locked)即存放於 DeFi 協定內的加密貨幣數量,是衡量平台規模及用戶信心的指標。閃電貸(Flash loan)是必須於同一筆區塊鏈交易中即借即還的無抵押貸款,原本多用於套利,現時亦遭黑客濫用。智能合約則指在區塊鏈自動執行合約條款、毋須中介方的自動化程式。
流動性分配功能則用來管理去中心化交易所中,流動性在不同價位區間分佈,以提升資本效率,方便交易者和流動性供應者。
結語
Bunni DEX 的結束突顯了 DeFi 平台於遭遇重大安全漏洞後所面對的財務與技術難題。團隊選擇於關閉前開源技術,有助未來開發者從今次漏洞中吸取教訓,構建新項目。