一家去中心化交易所 曾快速增長,管理近8千萬美元資產,本週宣布永久關閉,成為48小時內第二個停止運作的主要加密項目,顯示數位資產產業持續遭受財務壓力及安全威脅困擾。
Bunni,一個建立在Uniswap V4技術之上的去中心化交易所,於週三證實,繼9月2日遭惡意攻擊損失840萬美元後,無力負擔六至七位數美金的安全重啟稽核費用,該攻擊影響了以太坊及Uniswap第二層網路Unichain的資金池。
流動性分配漏洞遭利用
此次攻擊針對Bunni獨家開發的流動性分配函數,該機制原為幫助流動性提供者自動分配資金在不同價格區間以最佳化回報。安全公司CertiK及Halborn發現駭客利用複雜的四捨五入誤差,透過閃電貸操作內部計算邏輯。
Halborn的事件剖析顯示,漏洞來自協議提款函數意料之外的邏輯問題。開發者誤以為向下取整可提升閒置資金,其實卻被駭客利用,可以用很少的流動性燃燒換取過多代幣提領。
駭客進行精密計算的交易,擾亂Bunni的重平衡邏輯,逐步從以太坊盜走約240萬美元、從Unichain盜走600萬美元,並最終將大部份被盜資產——以USDC和USDT穩定幣為主——整合到以太坊錢包。
爆炸性成長畫下句點
這次關閉對於在攻擊前幾個月經歷爆發性成長的平台而言,是戲劇性的逆轉。根據DeFiLlama數據,Bunni鎖倉價值自2025年6月中僅223萬美元,於8月19日增至近8千萬美元,成長35倍,顯示市場強烈需求其創新自動造市技術。
該平台曾經由知名公司Trail of Bits及Cyfrin進行安全審查。
但至今不清楚本次漏洞是在上述審查時被忽略,還是之後的代碼更新新引入的,這在更新頻繁的DeFi協議中相當常見——團隊為增加功能或提升效能經常更動智能合約,也增加了風險。
昂貴的復原成本
Bunni團隊在關閉公告中解釋,若要安全重啟不僅需要全面安全稽核,還要建構持續監控系統,並投入數月時間重建用戶信心與流動性。
「最近的攻擊讓Bunni的成長完全停擺。若要安全重啟,僅稽核與監控開支就要六至七位數美元——這根本是我們無法負擔的成本,」團隊於X貼文表示。 「我們帶著極大的遺憾宣布Bunni結束營運。」
根據Bunni的事故報告,被竊資產已經過Tornado Cash清洗,讓追討更加困難。 團隊也對駭客提出10%賞金以返還剩餘資金,同步繼續與執法機關合作。
用戶資產提領與金庫分配
雖然平台關閉,Bunni確認仍可透過官方網站提領剩餘資產直到另行通知。剩餘金庫資金將分配給BUNNI、LIT、veBUNNI代幣持有者(團隊成員將排除在外),以快照方式兌現,確保社群而非內部人受益。
作為對更廣大DeFi生態系的最後貢獻,Bunni將V2智能合約授權從商業授權改為開源MIT授權。
這項決定讓其產品亮點——如流動性分配函數、動態手續費與自動重平衡機制——均可供其它開發者自由整合與再利用。
48小時內第二起DeFi關閉事件
Bunni關閉僅發生在另一重大項目退出、撼動加密圈的隔天。Kadena基金會宣布立即停止所有商業運作,並停止維護Kadena區塊鏈,原因是市場環境惡化,使持續發展不可持續。
Kadena由前摩根大通區塊鏈工程師Stuart Popejoy和Will Martino創辦,2019年推出,以獨特多鏈架構提供給企業級規模的乙太坊工作量證明替代方案。2021年11月KDA幣價格達27美元以上,項目估值超過40億美元。
但之後原生KDA代幣暴跌超過六成,公告發布90分鐘內由約0.23美元跌至0.10美元以下,市值蒸發2.68億美元,現價較歷史高點暴跌逾99%,報0.085美元。
雖然Kadena區塊鏈將由獨立礦工及社群開發者繼續維運,剩餘5.66億KDA待發礦工獎勵至2139年,但核心團隊離場使未來充滿不確定性。
更廣泛的安全危機
接連關閉事件反映小型區塊鏈專案在嚴峻市場和不斷升級安全威脅下面臨的壓力。Bunni駭客攻擊也屬於一長串DeFi竊盜案,僅2025年8月即有16起事件共損失1.63億美元,較前月增加15%。
加密產業過去兩個月遭駭與詐騙損失已逾3億美元,其中DeFi領域損失尤為嚴重。安全專家指出,攻擊者手法日益複雜,經常專挑新協議下手,其複雜自訂機制比成熟標準實現更容易暴露攻擊面。
對整個DeFi生態系而言,這些關閉案件充分提醒大家:光靠技術創新不保證專案可以長存。必須在追求功能突破之餘,加強安全管理,備妥緊急預備金,並在競爭激烈的市場重建用戶信任——因信任一旦失去,極難挽回。