一个基于Uniswap V4技术的去中心化交易所宣布在840万美元的安全漏洞耗尽其储备后将永久关闭,开发团队称其缺乏所需的资金进行重启。Bunni DEX告知用户可以提取剩余资产,但平台的资金库将在公司关闭运营期间分配给代币持有者。
需要了解的内容:
- 黑客于9月2日利用了Bunni DEX的定制流动性系统,通过闪电贷操纵计算,导致以太坊和Unichain网络的资金被耗尽,尽管之前进行了安全审计。
- 平台的总锁定价值从220万美元迅速攀升至接近8000万美元,攻击在几秒钟内抹去了数月的增长。
- 该关闭加剧了去中心化金融今年面临的困境,根据安全公司Hacken的数据,2025年因漏洞损失超过31亿美元。
漏洞详情及财务影响
漏洞针对Bunni的流动性分配功能,这是团队开发的优化交易流动性的专有机制。攻击者使用闪电贷——需在同一区块链交易内偿还的暂时性无抵押贷款——操控平台的内部计算。这触发了舍入误差,使黑客能系统地提取资金。
Trail of Bits和Cyfrin曾在攻击前对Bunni的代码进行过安全审计。然而,逻辑层次的漏洞未被两家公司发现。
团队在发现漏洞后立即停止了所有智能合约。
他们在X平台发布消息称,重启平台需要六到七位数的资金用于全面审计和监控系统。团队写道:“若要安全地重启,我们需要六到七位数的审计和监控资金,而这是我们所没有的。”
Bunni的资金库将分配给BUNNI、LIT和veBUNNI代币持有者。开发团队表示将自我排除在任何赔偿支付之外。用户被告知在“另行通知前”提取其剩余资产。
关闭之前,团队将其版本2智能合约的许可证从商业源代码许可证更改为MIT,这使得平台的技术(包括流动性分配功能、激增费用和自动再平衡功能)可供其他开发者使用。
行业影响和安全问题
平台的崩溃突显了去中心化金融协议中持续存在的漏洞。Bunni在攻击前几个月经历了快速增长,DeFiLlama的数据表明其总锁定价值从220万美元攀升至近8000万美元。漏洞消除了那一进展。
闪电贷攻击已成去中心化金融中反复出现的问题。这些攻击利用区块链交易原子执行的特性——即交易中的所有操作要么全成功要么全失败。攻击者借入大笔款项,操纵价格或计算,利用操控获利,偿还贷款并将差额收入囊中,所有操作都在单一交易内完成。
Bunni遭遇的840万美元损失仅是今年去中心化金融领域损失的一小部分。
Hacken的安全研究员报告称,2025年因漏洞造成的总损失超过31亿美元。
此事件可能促使开发者重新考虑如何部署自定义智能合约逻辑。行业观察人士表示,平台可能会增加对安全审计的投入,实施实时监控系统,并扩大漏洞赏金计划,以付费研究人员识别漏洞在攻击者利用前进行修复。
去中心化金融的关键术语
总锁定价值指的是存入去中心化金融协议中的加密货币数量,作为平台规模和用户信任的衡量标准。闪电贷是无抵押贷款,必须在同一区块链交易内借入并偿还,通常用于套利但也被攻击者利用。智能合约是在区块链上自动执行协议条款的自运行程序,无需中介。
流动性分配功能管理去中心化交易所中跨不同价格范围的交易流动性的分配,旨在提高交易者和流动性提供者的资本效率。
结语
Bunni DEX的关闭说明了去中心化金融平台在重大安全漏洞后面临的财务和技术挑战。团队在关闭前开放其技术源码,或许能让其他开发者在构建未来项目时从平台的漏洞中吸取教训。