Децентралізована біржа BunniXYZ втратила $8,4 млн через експлойт ліквідності

Bitget App

Cмартторгівля для кожного

Bitget

Новини

CryptoNewsNet2025/09/02 12:23

Переглянути оригінал

-:decrypt.co

Децентралізована біржа (DEX) BunniXYZ, за повідомленнями, втратила $8.4 мільйона внаслідок експлойту, пов’язаного з ліквідністю.

За даними on-chain компанії з безпеки Hacken, $6 мільйонів коштів DEX було викрадено через блокчейн Unichain і $2.4 мільйона через Ethereum. Всі кошти з Unichain були потім переміщені до Ethereum за допомогою Across Protocol.

Підтверджуючи атаку у твіті, BunniXYZ повідомила, що призупинила всю діяльність смарт-контрактів у своїй мережі та “активно розслідує” обставини атаки. Також додано, що найближчим часом буде надано оновлення.

🚨 Додаток Bunni постраждав від експлойту безпеки. Як запобіжний захід, ми призупинили всі функції смарт-контрактів на всіх мережах. Наша команда активно розслідує і незабаром надасть оновлення. Дякуємо за ваше терпіння.

Заснована у лютому 2025 року, BunniXYZ базується на автоматизованому маркет-мейкері Uniswap v4 і переважно використовує блокчейни Ethereum та Unichain. Згідно з DeFiLlama, наразі крос-чейн Total Value Locked (TVL) становить трохи більше $50 мільйонів, хоча на початку серпня цей показник перевищував $80 мільйонів.

Michael Bentley, співзасновник лендингового протоколу Euler, порадив користувачам вивести свої кошти з Bunni у твіті, додавши, що хоча DEX перебалансує кошти через Euler, лендинговий протокол "не постраждав і не перебуває під загрозою". Euler сам зазнав великого експлойту у 2023 році, коли хакери викрали майже $200 мільйонів, більшу частину яких згодом було повернуто.

Що сталося?

За словами on-chain аналітика Віктора Трана, співзасновника Kyber Network, хакери маніпулювали “кривою ліквідності” Bunni, також відомою як LDF (Liquidity Density Function). Це система, яка розраховує, скільки додаткової ліквідності є на біржі, і перебалансує пул ліквідності для підтримки правильного співвідношення токенів.

1. Bunni — це liquidity hook, який працює поверх UniswapV4. Замість використання стандартної системи UniswapV4, Bunni має власну криву ліквідності під назвою LDF (Liquidity Distribution Function).

2. Після кожної угоди Bunni перевіряє, чи змінилася її крива LDF з моменту останньої угоди. Якщо так,…

Тран зазначив, що хакери маніпулювали цією LDF “здійснюючи угоди дуже конкретних розмірів”. Це призвело до порушення розрахунку перебалансування, що дало неправильні результати щодо того, яка частка кожного пулу ліквідності має належати.

Повторюючи цей процес, хакери, ймовірно, вивели більше токенів, ніж мали б змогу отримати з Bunni.

Сама Bunni поки що не підтвердила механізм атаки.

Відмова від відповідальності: зміст цієї статті відображає виключно думку автора і не представляє платформу в будь-якій якості. Ця стаття не повинна бути орієнтиром під час прийняття інвестиційних рішень.

PoolX: Заробляйте за стейкінг

До понад 10% APR. Що більше монет у стейкінгу, то більший ваш заробіток.

Надіслати токени у стейкінг!