Exploit des dezentralen Finanzprotokolls Bunni
Das dezentrale Finanzprotokoll Bunni erlitt am 2. September einen Exploit in Höhe von 8,4 Millionen US-Dollar, nachdem ein ausgeklügelter Angreifer einen Flash-Kredit nutzte, um Liquiditätspools sowohl auf Ethereum als auch auf Unichain zu manipulieren. Der Vorfall, der die Pools weETH/ETH und USDC/USDT ins Visier nahm, wurde auf einen Fehler in der Logik des Smart Contracts von Bunni zurückgeführt, der mit Rundungsfehlern zusammenhängt.
Details des Angriffs
Bunni macht diese Rundungsfehler für den Verlust von 2,3 Millionen US-Dollar verantwortlich und bietet eine Belohnung von 10 % für die Rückgabe der gestohlenen Gelder an. Laut der Nachuntersuchung von Bunni wurde der Exploit in drei Phasen durchgeführt:
- Der Angreifer lieh sich zunächst 3 Millionen USDT über einen Flash-Kredit und nutzte diesen, um den Spotpreis des USDC/USDT-Pools auf extreme Werte zu manipulieren.
- Mit dem aktiven USDC-Guthaben des Pools, das auf nur 28 USDC reduziert wurde, initiierte der Angreifer 44 kleine Abhebungen. Dies nutzte einen Rundungsfehler im Code von Bunni aus, der die Liquidität des Pools um über 84 % unverhältnismäßig senkte.
- Mit künstlich unterdrückter Liquidität führte der Angreifer einen Sandwich-Angriff durch, indem er große Swaps ausführte, die die Preise auf verzerrte Werte trieben.
Durch die Umkehrung der vorherigen Liquiditätsreduktion entzogen sie Gewinne, bevor sie den Flash-Kredit zurückzahlten. Insgesamt brachte der Exploit dem Angreifer etwa 1,33 Millionen USDC und 1 Million USDT ein.
Ursache und Reaktion
„Wir haben Jahre damit verbracht, Bunni aufzubauen, weil wir glauben, dass es die Zukunft der AMMs ist“, sagte das Team in seiner Erklärung.
Die Blockchain-Sicherheitsfirma Cyfrin bestätigte, dass die Schwachstelle aus der Art und Weise resultierte, wie Bunnis Smart Contract Guthaben während der Abhebungen rundete. Während der Mechanismus darauf ausgelegt war, die Sicherheit des Pools zu begünstigen, indem die Liquidität unterschätzt wurde, schufen wiederholte kleine Abhebungen Bedingungen, die es ermöglichten, die Rundungslogik im großen Maßstab auszunutzen.
Bunni stellte fest, dass sein größter Pool, das USDC/USD₮0-Paar von Unichain, aufgrund unzureichender Flash-Kreditliquidität, die für einen Angriff zur Verfügung stand, verschont blieb. Um diesen Pool auszubeuten, wären etwa 17 Millionen US-Dollar an geliehenen Vermögenswerten erforderlich gewesen, aber nur 11 Millionen standen zu diesem Zeitpunkt über Kreditplattformen zur Verfügung.
Folgen und Sicherheitsmaßnahmen
Bunni bestätigte, dass die gestohlenen Vermögenswerte nun auf zwei Wallets verteilt sind, die mit dem Angreifer verbunden sind. Ermittler verfolgten die Herkunft der Gelder, stießen jedoch auf ein totes Ende, nachdem sie entdeckten, dass die Wallets über Tornado Cash, ein sanktioniertes Datenschutz-Tool, finanziert wurden. Das Team hat den Angreifer direkt on-chain kontaktiert und eine Belohnung von 10 % im Austausch für die Rückgabe der verbleibenden Gelder angeboten.
Zentrale Börsen wurden ebenfalls benachrichtigt, um mögliche Abhebungen zu verhindern, während die Strafverfolgungsbehörden eingeschaltet wurden, um Rückgewinnungsoptionen zu verfolgen. Unmittelbar nach dem Vorfall pausierte Bunni alle Operationen, hat jedoch inzwischen die Abhebungen wieder aktiviert, um den Liquiditätsanbietern zu ermöglichen, ihre Einlagen zurückzuerhalten.
Eine Änderung der Rundungsrichtung der betroffenen Funktion neutralisiert den aktuellen Exploit-Vektor, obwohl das Team anerkennt, dass umfassendere Tests und Sicherheitsverbesserungen erforderlich sind, bevor eine vollständige Wiedereröffnung erfolgt.
Marktentwicklung und Sicherheitslage
August markiert den drittschlechtesten Monat für die Sicherheit von Krypto, da 163 Millionen US-Dollar durch Hacks und Betrügereien verloren gingen. Bunni, das einst über 80 Millionen US-Dollar an insgesamt gesperrtem Wert (TVL) auf der BNB-Chain hatte, hält jetzt nur noch etwas über 50 Millionen nach dem Exploit. Der Vorfall fügt sich in eine Reihe von Angriffen und Betrügereien ein, die den Sektor erschüttern.
Nur einen Tag zuvor verlor ein Benutzer des Venus-Protokolls 13,5 Millionen US-Dollar in einem Phishing-Betrug. Laut der Blockchain-Sicherheitsfirma PeckShield genehmigte das Opfer unwissentlich eine bösartige Transaktion, die Token-Berechtigungen gewährte, die den Diebstahl ermöglichten.
Der Vorfall folgte einem Anstieg von krypto-bezogenen Exploits im August, wobei Daten von PeckShield zeigten, dass 163 Millionen US-Dollar bei 16 großen Angriffen gestohlen wurden, ein Anstieg von 142 Millionen im Juli. Die Verluste machten den August zum drittschlechtesten Monat für die Sicherheit von Krypto im Jahr 2025.
Der größte einzelne Diebstahl ereignete sich am 19. August, als ein Bitcoin-Inhaber 783 BTC im Wert von 91,4 Millionen US-Dollar in einem Social-Engineering-Schema verlor. Angreifer gaben angeblich vor, Mitarbeiter des Supports für Hardware-Wallets zu sein, um sensible Anmeldeinformationen zu erhalten, bevor sie die Gelder über Wasabi Wallet wuschen.
Die türkische Börse BtcTurk wurde ebenfalls getroffen und verlor 54 Millionen US-Dollar in einem Multi-Chain-Hot-Wallet-Breach über sieben Blockchain-Netzwerke. Der Vorfall brachte die kumulierten Verluste auf über 100 Millionen US-Dollar nach einem vorherigen Hack im Juni 2024.
Mit Phishing, Börsenanfälligkeiten und Exit-Betrügereien, die zu steigenden Verlusten führen, verdeutlichte der August, wie sowohl technische Mängel als auch menschliche Fehler die Kryptoindustrie weiterhin plagen.
