Udnyttelse af Bunni Protokollen
Det decentraliserede finansprotokol Bunni led et udnyttelse på $8,4 millioner den 2. september, efter at en sofistikeret angriber udnyttede et flash-lån til at manipulere likviditetspuljer på både Ethereum og Unichain. Hændelsen, som målrettede weETH/ETH og USDC/USDT puljerne, tilskrives en fejl i Bunnis smart kontraktlogik, der involverer rundingsfejl.
Detaljer om Udnyttelsen
Ifølge Bunnis post-mortem blev udnyttelsen udført i tre faser. Angriberen lånte først 3 millioner USDT via et flash-lån og brugte det til at manipulere USDC/USDT puljens spotpris til ekstreme niveauer. Med puljens aktive USDC-balance reduceret til kun 28 wei, initierede udnytteren 44 små hævninger. Dette udnyttede en rundingsfejl i Bunnis kode, som uforholdsmæssigt sænkede puljens likviditet med over 84%.
Med likviditeten kunstigt undertrykt udførte angriberen et sandwich-angreb, hvor store swaps blev udført, hvilket skubbede priserne til forvrængede værdier. Ved at omvende den tidligere likviditetsreduktion trak de overskud ud, før de tilbagebetalte flash-lånet. I alt gav udnyttelsen cirka 1,33 millioner USDC og 1 million USDT til angriberen.
Bekræftelse af Sårbarhed
Blockchain-sikkerhedsfirmaet Cyfrin bekræftede, at sårbarheden stammede fra, hvordan Bunnis smart kontrakt rundede saldi under hævninger. Selvom mekanismen var designet til at favorisere puljesikkerhed ved at undervurdere likviditet, skabte gentagne små hævninger betingelser, der gjorde det muligt for rundingslogikken at blive udnyttet i stor skala.
Bunni bemærkede, at dens største pulje, Unichains USDC/USD₮0 par, blev skånet på grund af utilstrækkelig flash-lån likviditet til at gennemføre et angreb. At udnytte den pulje ville have krævet cirka $17 millioner i lånte aktiver, men kun $11 millioner var tilgængelige på låneplatforme på det tidspunkt.
Efterspil og Reaktion
Bunni bekræftede, at de stjålne aktiver nu er delt mellem to tegnebøger knyttet til angriberen. Efterforskere sporede oprindelsen af midlerne, men stødte på en blindgyde efter at have opdaget, at tegnebøgerne var finansieret gennem Tornado Cash, et sanktioneret privatlivsværktøj. Teamet har kontaktet udnytteren direkte on-chain og tilbudt en 10% belønning i bytte for at returnere de resterende midler. Centraliserede børser er også blevet underrettet for at forhindre eventuelle forsøg på at trække sig tilbage, mens retshåndhævelse er blevet involveret for at forfølge genopretningsmuligheder.
I umiddelbar efterspil pausede Bunni alle operationer, men har siden genaktiveret hævninger for at give likviditetsudbydere mulighed for at genvinde deres indskud. Indskud og swaps forbliver frosset, mens udviklerne arbejder på en løsning. At ændre rundingsretningen af den berørte funktion neutraliserer den nuværende udnyttelsesvektor, selvom teamet anerkendte, at mere omfattende test og sikkerhedsforbedringer er nødvendige, før de åbner helt igen.
Fremtiden for Bunni
Bunni, drevet af et seks-personers team, sagde, at de forbliver forpligtet til at fortsætte udviklingen trods tilbageslaget. Protokollen introducerede nye koncepter som Likviditetsdensitetsfunktioner (LDF’er), som teamet hævder repræsenterer en ny generation af automatiserede markedsproducenter. “Vi har brugt år på at bygge Bunni, fordi vi mener, det er fremtiden for AMM’er,” sagde teamet i sin erklæring, mens de lovede at styrke deres kodebase og testframeworks for at forhindre lignende angreb.
August: En Uheldig Måned for Kryptosikkerhed
August markerede den tredje-værste måned for kryptosikkerhed, da $163 millioner gik tabt til hacks og svindel. Bunni, der engang prydede sig med over $80 millioner i samlet værdi låst (TVL) på BNB Chain, har nu kun lidt over $50 millioner efter udnyttelsen. Hændelsen tilføjer en række angreb og svindel, der rammer sektoren.
Bare en dag tidligere mistede en Venus Protocol-bruger $13,5 millioner i et phishing-svindel. Ifølge blockchain-sikkerhedsfirmaet PeckShield godkendte offeret uvidende en ondsindet transaktion, der gav token-tilladelser, der muliggør tyveriet. Mens de første rapporter antydede, at $27 millioner blev drænet, viste senere analyser, at gældpositioner fejlagtigt var inkluderet i tallet. Venus understregede, at deres smart kontrakter forblev sikre og bekræftede, at kun brugeren var kompromitteret.
Hændelsen fulgte en stigning i kryptorelaterede udnyttelser i august, med PeckShield-data, der viste, at $163 millioner blev stjålet på tværs af 16 store angreb, op fra $142 millioner i juli. Tabene gjorde august til den tredje-værste måned for kryptosikkerhed i 2025.
Den største enkeltstående tyveri fandt sted den 19. august, da en Bitcoin-ejer mistede 783 BTC, værd $91,4 millioner, i et social engineering-scheme. Angribere angiveligt udgav sig for hardware wallet-supportpersonale for at få følsomme legitimationsoplysninger, før de vaskede midlerne gennem Wasabi Wallet. Den tyrkiske børs BtcTurk blev også ramt og mistede $54 millioner i et multi-chain hot wallet-brud på tværs af syv blockchain-netværk. Hændelsen bragte dens kumulative tab til over $100 millioner efter et tidligere hack i juni 2024.
Andre bemærkelsesværdige tilfælde inkluderede ODIN•FUN’s $7 millioner tab, BetterBank.io’s $5 millioner udnyttelse og CrediX Finance’s $4,5 millioner kollaps, som blev til et exit-svindel efter at udviklerne forlod projektet. Med phishing, børs-sårbarheder og exit-svindel, der driver stigende tab, understregede august, hvordan både tekniske fejl og menneskelige fejl fortsat plager kryptovalutaindustrien.
