一個曾急速增長、管理接近8,000萬美元資產的去中心化交易所本周宣佈永久關閉,成為48小時內第二個停止運作的大型加密項目,突顯數碼資產行業持續受財務壓力及安全漏洞困擾。
Bunni,一個建立於 Uniswap V4 技術上的去中心化交易所,於周三確認在今年9月2日遭漏洞利用抽走8,400,000美元流動資金後,無力負擔六至七位數的審計成本來安全重啟平台。
流動性分配功能漏洞被攻擊
攻擊鎖定了Bunni自家「流動性分配功能」的關鍵缺陷,這個機制原旨在透過動態分配資本於不同價格區間來優化流動性提供者的回報。安全公司CertiK與Halborn指出,漏洞源於複雜的四捨五入計算錯誤,讓黑客可透過閃電貸攻擊操控內部運算。
Halborn的事後分析揭示問題出自協議的 withdraw(提款)功能出現預期外後果。開發者誤以為向下取整關鍵數值會提升閒置餘額,結果卻相反——黑客反可在僅消耗極少流動性的情況下,大量提取代幣。
黑客以精確控制的金額進行交易,令Bunni的重新平衡計算出錯,逐步將以太坊失去約240萬美元,Unichain損失600萬美元,最後將竊取的資產(以 USDC 與 USDT 穩定幣為主)轉移至以太坊錢包匯聚。
短暫暴升戛然而止
平台結束運作標誌著一個曾爆炸性增長項目的戲劇性轉折。根據DeFiLlama 數據, Bunni的總鎖倉價值由2025年6月中僅223萬美元急升至8月19日近8,000萬美元,急增35倍,顯示市場對其創新自動做市機制渴求。
平台曾經由著名審計公司 Trail of Bits 與 Cyfrin 進行安全審查。
但現時未明此次漏洞是已在這些審計中被發現,抑或因之後程式碼更改引入——這是在DeFi協議常見的風險,團隊經常更新合約以增添功能或優化效能。
天價復原成本
在關閉公告中,Bunni 團隊解釋,若要安全重啟需投放大量資源於全面安全審計、持續監察設施,以及數月時間重建用戶信任、吸引流動性。
「近期漏洞令Bunni增長煞停,若要安全重啟,僅審計及監控開支已達六至七位數——我們根本無力負擔,」團隊於X發帖表示:「我們懷著遺憾心情宣佈Bunni結業。」
按Bunni的事後總結,被盜資產已被洗錢至Tornado Cash,進一步複雜化追討。團隊曾對攻擊者提出10%賞金換回剩餘資金,並繼續配合執法機關追查。
用戶資產提取及國庫分配
雖然平台結束,Bunni確認用戶仍可經官網提取剩餘資產,直至另行通知。餘下國庫資金將按快照分配予BUNNI、LIT及 veBUNNI 代幣持有者,團隊成員將被排除,確保只有社群受惠。
作為對DeFi生態系最後致意,Bunni 亦將V2智能合約由具限制性的商業源碼許可轉為開放的MIT授權。
此舉令其創新技術,包括流動性分配功能、激增費用、及自動平衡機制等,完全免費讓業界吸納發展。
48小時內第二宗DeFi終止
Bunni關閉僅一天前,另一大型項目宣佈退出震撼了加密圈。Kadena Foundation 宣佈即時結束全部業務及停止維護 Kadena 區塊鏈網絡,因市場不景嚴重,不足以支撐發展。
Kadena 由前摩根大通區塊鏈工程師 Stuart Popejoy 與 Will Martino 創立,2019年推出,標榜以「編織式」多鏈架構實現與以太坊競爭的企業級可擴展性。在2021年11月高峰時,其代幣KDA曾高見27美元,市值超過40億。
但KDA代幣於關閉消息後90分鐘內暴跌超過60%,由約$0.23跌穿$0.10,市值蒸發近2.68億美元。現時比歷史高位下跌超過99%,最新報價僅$0.085。
雖然 Kadena 區塊鏈將由獨立礦工及社群維持營運,尚有5.66億 KDA預留作出塊獎勵至2139年,但核心開發團隊離場後,未來仍布不明朗。
更深層保安危機
接連結束個案凸顯小型區塊鏈項目正受嚴峻市道及安全風險壓力。 Bunni事件並非孤例,單單2025年8月已錄得超過1.63億美元被偷,分佈於16宗事件,按月再升15%。
過去兩個月,整個加密市場因黑客及詐騙損失超過3億美元,其中DeFi賠損尤其嚴重。專家指出黑客手法越趨高階,往往鎖定以複雜自定機制的新協議,遠多於老牌合約方案。
對DeFi生態而言,這些結束案例再次提醒:僅靠技術創新難以維持項目長久。團隊須平衡激進發展和嚴謹保安措施、保持充足資金備用應變,並在競爭激烈市場中建立信任——一旦失去將難以重建。