Schließung von Bunni nach schwerem Exploit
In einem weiteren Rückschlag für die dezentrale Finanzindustrie hat Bunni seine Schließung angekündigt, nachdem ein schwerer Exploit den Betrieb gestoppt hat. Bunni, die dezentrale Börse, die für ihre Liquiditätsinnovationen bekannt ist, hat offiziell geschlossen, nachdem ein großer Exploit über 8,4 Millionen Dollar an Benutzerfonds abgezogen hat. Die Entscheidung wurde am 23. Oktober über den offiziellen X-Account des Projekts bekannt gegeben, wo das Team erklärte, dass der Hack das Wachstum gestoppt und das Projekt unfähig gemacht hat, eine sichere Wiedereröffnung zu finanzieren.
Details des Angriffs
Die Schließung markiert das Ende einer der technisch ambitioniertesten Börsen im DeFi-Bereich, die auf Uniswap (UNI) V4-Hooks basiert. Der Angriff, der sich gegen die primären Ethereum (ETH) und Unichain-Smart Contracts von Bunni richtete, fand Anfang September statt. Angreifer nutzten eine Schwachstelle in der Liquiditätsverteilungsfunktion des Projekts aus, die entwickelt wurde, um die Renditen der Liquiditätsanbieter zu optimieren. Dadurch konnten sie mehr Vermögenswerte abheben, als ihnen durch Manipulation von Blitzkrediten und Rundungsfehlern zustehen. Rund 8,4 Millionen Dollar wurden abgezogen, hauptsächlich in USDC und USDT, bevor das Team die Vertragsoperationen einfrierte.
Eine Belohnung von 10 % wurde angeboten, um die Gelder zurückzuerhalten, doch der Angreifer reagierte nie. Trotz früherer Prüfungen durch Trail of Bits und Cyfrin wurde der Fehler als „Logikfehler“ und nicht als Implementierungsfehler eingestuft. Seit dem Hack ist der gesamte Wert, der in Bunni gesperrt ist, von über 60 Millionen Dollar auf nahezu null gefallen, während Handels- und Entwicklungsaktivitäten zum Stillstand gekommen sind.
Schließungsmitteilung und Ausblick
In seiner Schließungsmitteilung erklärte das Bunni-Team, dass es „sechs bis siebenstellige Beträge“ für Prüfungs- und Überwachungskosten sowie Monate der Neuentwicklung benötigt hätte, um den Betrieb sicher wieder aufzunehmen – eine Ausgabe, die es nicht erfüllen konnte. Benutzer werden weiterhin in der Lage sein, Gelder über die Bunni-Website bis auf Weiteres abzuheben. Die verbleibenden Treasury-Vermögenswerte werden an BUNNI, LIT und veBUNNI-Inhaber basierend auf einem Snapshot verteilt, sobald der rechtliche Prozess abgeschlossen ist. Teammitglieder werden von der Verteilung ausgeschlossen.
Letzte Schritte und Ausblick auf die Blockchain-Sicherheit
Als letzten Schritt hat Bunni seine v2-Smart Contracts von BUSL auf MIT lizenziert, wodurch seine Technologien, einschließlich LDFs, Surge-Gebühren und autonomes Rebalancing, anderen Entwicklern kostenlos zur Verfügung stehen. Das Team erklärte, dass es weiterhin mit den Strafverfolgungsbehörden zusammenarbeitet, um die gestohlenen Gelder zurückzuerhalten. Die Schließung trägt zu einem schwierigen Jahr für die Blockchain-Sicherheit bei, in dem bisher über 3,1 Milliarden Dollar durch Hacks und Exploits im Jahr 2025 verloren gingen.
