一個基於 Uniswap V4 技術的去中心化交易所宣布在發生 840 萬美元安全漏洞、儲備資金被掏空後將永久關閉,開發團隊表示缺乏所需資金來重新啟動。Bunni DEX 通知用戶可提取剩餘資產,同時平台金庫將在公司運作結束時分配給代幣持有人。
重要資訊:
- 9 月 2 日,駭客利用閃電貸攻擊 Bunni DEX 自訂流動性系統,操縱計算導致以太坊和 Unichain 上資金被掏空,儘管事前已進行安全審計。
- 攻擊前,平台鎖定總價值從 220 萬美元暴增至近 8,000 萬美元,數月成長卻在數秒內化為烏有。
- 本次關閉事件讓今年 DeFi 領域更加令人擔憂,資安公司 Hacken 指出 2025 年損失已超過 31 億美元。
漏洞細節與財務損失
此次事件針對 Bunni 自家的流動性分配功能,這是團隊為優化交易流動性所開發的機制。攻擊者利用閃電貸——即在同一區塊鏈交易內無需抵押即可借入且必須即時償還的臨時貸款,操控平台內部計算,從而觸發四捨五入錯誤,有系統地提取資金。
Trail of Bits 和 Cyfrin 雖曾對 Bunni 程式碼進行安全審計,但該邏輯層級漏洞兩家公司均未偵測出。
團隊在發現漏洞後立即終止所有智能合約。
團隊於 X 平台發文表示,若要重新啟動平台,必須投入高達六到七位數資金進行全面審計及即時監控。「要安全重啟,我們需要六到七位數預算進行審計與監控,但我們資金根本不足。」團隊表示。
Bunni 金庫將分配給 BUNNI、LIT 及 veBUNNI 代幣持有人,開發團隊則聲稱不會參與任何補償。官方通知用戶「至另行通知前」提領所有剩餘資產。
關閉平台前,團隊已將其 v2 智能合約由商業源碼許可證(Business Source License)改為 MIT,這使包括流動性分配、費率機制及自動再平衡等技術,皆可供其他開發者利用。
產業影響及資安疑慮
平台倒閉凸顯去中心化金融協議的持續性弱點。Bunni 遭駭前數月急速成長,據 DeFiLlama 資料,TVL 由 220 萬美元攀升至近 8,000 萬美元,攻擊卻在片刻間將成果化為烏有。
閃電貸攻擊已成 DeFi 領域反覆出現的棘手問題。此種手法利用區塊鏈交易的「原子性」特性——即交易中的所有操作要麼全部成功,要麼全部失敗。攻擊者可暫時借入大量資金,操控價格或計算,從中套利、歸還貸款並賺取差額,這一切皆在單一筆交易內完成。
Bunni 遭竊 840 萬美元只是今年 DeFi 領域巨大損失的一小部分。
資安公司 Hacken 指出,2025 年因駭人利用漏洞導致的損失已超過 31 億美元。
此事件可能促使開發者重新思考客製化智能合約邏輯的部署模式。產業觀察家預測,平台將增加安全審計投入,實施即時監控,同時擴大漏洞懸賞,以在駭客得逞前由研究員提前發現弱點。
去中心化金融關鍵詞解釋
「鎖定總價值」(TVL)是指存入 DeFi 協議的加密貨幣總額,被用作衡量平台規模和用戶信心之指標。閃電貸則屬無抵押、必須於同一區塊鏈交易間進行的短暫貸款,常用於套利,也時被攻擊者利用。智能合約即區塊鏈上的自動執行協議,可在無第三方中介前提下自動執行約定條款。
流動性分配功能則管理去中心化交易所不同價格區間的流動性分配,旨在提升交易者與流動性提供者的資本效率。
結語
Bunni DEX 的關閉,充分展現 DeFi 平台在遭遇重大安全事件後面臨的財務與技術挑戰。團隊選擇在結束前開源技術,或許能讓其他開發者藉此吸取經驗,避免重蹈覆轍。