{"id":8761,"date":"2025-09-05T11:28:20","date_gmt":"2025-09-05T11:28:20","guid":{"rendered":"https:\/\/satoshibrother.com\/de\/bunni-von-84-millionen-us-dollar-flash-loan-exploits-betroffen-rundungsfehler-verantwortlich-gemacht\/"},"modified":"2025-09-05T11:28:20","modified_gmt":"2025-09-05T11:28:20","slug":"bunni-von-84-millionen-us-dollar-flash-loan-exploits-betroffen-rundungsfehler-verantwortlich-gemacht","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/de\/bunni-von-84-millionen-us-dollar-flash-loan-exploits-betroffen-rundungsfehler-verantwortlich-gemacht\/","title":{"rendered":"Bunni von 8,4 Millionen US-Dollar Flash-Loan-Exploits betroffen \u2013 \u201aRundungsfehler\u2018 verantwortlich gemacht"},"content":{"rendered":"

Exploit des dezentralen Finanzprotokolls Bunni<\/h2>\n

Das dezentrale Finanzprotokoll Bunni<\/strong> erlitt am 2. September<\/strong> einen Exploit in H\u00f6he von 8,4 Millionen US-Dollar<\/strong>, nachdem ein ausgekl\u00fcgelter Angreifer einen Flash-Kredit<\/em> nutzte, um Liquidit\u00e4tspools sowohl auf Ethereum<\/strong> als auch auf Unichain<\/strong> zu manipulieren. Der Vorfall, der die Pools weETH\/ETH<\/strong> und USDC\/USDT<\/strong> ins Visier nahm, wurde auf einen Fehler in der Logik des Smart Contracts von Bunni zur\u00fcckgef\u00fchrt, der mit Rundungsfehlern<\/em> zusammenh\u00e4ngt.<\/p>\n

Details des Angriffs<\/h2>\n

Bunni macht diese Rundungsfehler f\u00fcr den Verlust von 2,3 Millionen US-Dollar<\/strong> verantwortlich und bietet eine Belohnung von 10 %<\/strong> f\u00fcr die R\u00fcckgabe der gestohlenen Gelder an. Laut der Nachuntersuchung von Bunni wurde der Exploit in drei Phasen<\/strong> durchgef\u00fchrt:<\/p>\n

    \n
  1. Der Angreifer lieh sich zun\u00e4chst 3 Millionen USDT<\/strong> \u00fcber einen Flash-Kredit und nutzte diesen, um den Spotpreis des USDC\/USDT-Pools<\/strong> auf extreme Werte zu manipulieren.<\/li>\n
  2. Mit dem aktiven USDC-Guthaben des Pools, das auf nur 28 USDC<\/strong> reduziert wurde, initiierte der Angreifer 44 kleine Abhebungen<\/strong>. Dies nutzte einen Rundungsfehler im Code von Bunni aus, der die Liquidit\u00e4t des Pools um \u00fcber 84 %<\/strong> unverh\u00e4ltnism\u00e4\u00dfig senkte.<\/li>\n
  3. Mit k\u00fcnstlich unterdr\u00fcckter Liquidit\u00e4t f\u00fchrte der Angreifer einen Sandwich-Angriff<\/em> durch, indem er gro\u00dfe Swaps ausf\u00fchrte, die die Preise auf verzerrte Werte trieben.<\/li>\n<\/ol>\n

    Durch die Umkehrung der vorherigen Liquidit\u00e4tsreduktion entzogen sie Gewinne, bevor sie den Flash-Kredit zur\u00fcckzahlten. Insgesamt brachte der Exploit dem Angreifer etwa 1,33 Millionen USDC<\/strong> und 1 Million USDT<\/strong> ein.<\/p>\n

    Ursache und Reaktion<\/h2>\n
    \n

    \u201eWir haben Jahre damit verbracht, Bunni aufzubauen, weil wir glauben, dass es die Zukunft der AMMs ist\u201c, sagte das Team in seiner Erkl\u00e4rung.<\/p>\n<\/blockquote>\n

    Die Blockchain-Sicherheitsfirma Cyfrin<\/strong> best\u00e4tigte, dass die Schwachstelle aus der Art und Weise resultierte, wie Bunnis Smart Contract Guthaben w\u00e4hrend der Abhebungen rundete. W\u00e4hrend der Mechanismus darauf ausgelegt war, die Sicherheit des Pools zu beg\u00fcnstigen, indem die Liquidit\u00e4t untersch\u00e4tzt wurde, schufen wiederholte kleine Abhebungen Bedingungen, die es erm\u00f6glichten, die Rundungslogik im gro\u00dfen Ma\u00dfstab auszunutzen.<\/p>\n

    Bunni stellte fest, dass sein gr\u00f6\u00dfter Pool, das USDC\/USD\u20ae0-Paar<\/strong> von Unichain, aufgrund unzureichender Flash-Kreditliquidit\u00e4t, die f\u00fcr einen Angriff zur Verf\u00fcgung stand, verschont blieb. Um diesen Pool auszubeuten, w\u00e4ren etwa 17 Millionen US-Dollar<\/strong> an geliehenen Verm\u00f6genswerten erforderlich gewesen, aber nur 11 Millionen<\/strong> standen zu diesem Zeitpunkt \u00fcber Kreditplattformen zur Verf\u00fcgung.<\/p>\n

    Folgen und Sicherheitsma\u00dfnahmen<\/h2>\n

    Bunni best\u00e4tigte, dass die gestohlenen Verm\u00f6genswerte nun auf zwei Wallets verteilt sind, die mit dem Angreifer verbunden sind. Ermittler verfolgten die Herkunft der Gelder, stie\u00dfen jedoch auf ein totes Ende<\/em>, nachdem sie entdeckten, dass die Wallets \u00fcber Tornado Cash<\/strong>, ein sanktioniertes Datenschutz-Tool, finanziert wurden. Das Team hat den Angreifer direkt on-chain kontaktiert und eine Belohnung von 10 %<\/strong> im Austausch f\u00fcr die R\u00fcckgabe der verbleibenden Gelder angeboten.<\/p>\n

    Zentrale B\u00f6rsen wurden ebenfalls benachrichtigt, um m\u00f6gliche Abhebungen zu verhindern, w\u00e4hrend die Strafverfolgungsbeh\u00f6rden eingeschaltet wurden, um R\u00fcckgewinnungsoptionen zu verfolgen. Unmittelbar nach dem Vorfall pausierte Bunni alle Operationen, hat jedoch inzwischen die Abhebungen wieder aktiviert, um den Liquidit\u00e4tsanbietern zu erm\u00f6glichen, ihre Einlagen zur\u00fcckzuerhalten.<\/p>\n

    Eine \u00c4nderung der Rundungsrichtung der betroffenen Funktion neutralisiert den aktuellen Exploit-Vektor, obwohl das Team anerkennt, dass umfassendere Tests und Sicherheitsverbesserungen erforderlich sind, bevor eine vollst\u00e4ndige Wiederer\u00f6ffnung erfolgt.<\/p>\n

    Marktentwicklung und Sicherheitslage<\/h2>\n

    August markiert den drittschlechtesten Monat f\u00fcr die Sicherheit von Krypto, da 163 Millionen US-Dollar<\/strong> durch Hacks und Betr\u00fcgereien verloren gingen. Bunni, das einst \u00fcber 80 Millionen US-Dollar<\/strong> an insgesamt gesperrtem Wert (TVL) auf der BNB-Chain hatte, h\u00e4lt jetzt nur noch etwas \u00fcber 50 Millionen<\/strong> nach dem Exploit. Der Vorfall f\u00fcgt sich in eine Reihe von Angriffen und Betr\u00fcgereien ein, die den Sektor ersch\u00fcttern.<\/p>\n

    Nur einen Tag zuvor verlor ein Benutzer des Venus-Protokolls<\/strong> 13,5 Millionen US-Dollar<\/strong> in einem Phishing-Betrug. Laut der Blockchain-Sicherheitsfirma PeckShield<\/strong> genehmigte das Opfer unwissentlich eine b\u00f6sartige Transaktion, die Token-Berechtigungen gew\u00e4hrte, die den Diebstahl erm\u00f6glichten.<\/p>\n

    Der Vorfall folgte einem Anstieg von krypto-bezogenen Exploits im August, wobei Daten von PeckShield zeigten, dass 163 Millionen US-Dollar<\/strong> bei 16 gro\u00dfen Angriffen<\/strong> gestohlen wurden, ein Anstieg von 142 Millionen<\/strong> im Juli. Die Verluste machten den August zum drittschlechtesten Monat f\u00fcr die Sicherheit von Krypto im Jahr 2025.<\/p>\n

    Der gr\u00f6\u00dfte einzelne Diebstahl ereignete sich am 19. August<\/strong>, als ein Bitcoin-Inhaber 783 BTC<\/strong> im Wert von 91,4 Millionen US-Dollar<\/strong> in einem Social-Engineering-Schema verlor. Angreifer gaben angeblich vor, Mitarbeiter des Supports f\u00fcr Hardware-Wallets zu sein, um sensible Anmeldeinformationen zu erhalten, bevor sie die Gelder \u00fcber Wasabi Wallet<\/strong> wuschen.<\/p>\n

    Die t\u00fcrkische B\u00f6rse BtcTurk<\/strong> wurde ebenfalls getroffen und verlor 54 Millionen US-Dollar<\/strong> in einem Multi-Chain-Hot-Wallet-Breach \u00fcber sieben Blockchain-Netzwerke. Der Vorfall brachte die kumulierten Verluste auf \u00fcber 100 Millionen US-Dollar<\/strong> nach einem vorherigen Hack im Juni 2024<\/strong>.<\/p>\n

    Mit Phishing, B\u00f6rsenanf\u00e4lligkeiten und Exit-Betr\u00fcgereien, die zu steigenden Verlusten f\u00fchren, verdeutlichte der August, wie sowohl technische M\u00e4ngel als auch menschliche Fehler die Kryptoindustrie weiterhin plagen.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Exploit des dezentralen Finanzprotokolls Bunni Das dezentrale Finanzprotokoll Bunni erlitt am 2. September einen Exploit in H\u00f6he von 8,4 Millionen US-Dollar, nachdem ein ausgekl\u00fcgelter Angreifer einen Flash-Kredit nutzte, um Liquidit\u00e4tspools sowohl auf Ethereum als auch auf Unichain zu manipulieren. Der Vorfall, der die Pools weETH\/ETH und USDC\/USDT ins Visier nahm, wurde auf einen Fehler in der Logik des Smart Contracts von Bunni zur\u00fcckgef\u00fchrt, der mit Rundungsfehlern zusammenh\u00e4ngt. Details des Angriffs Bunni macht diese Rundungsfehler f\u00fcr den Verlust von 2,3 Millionen US-Dollar verantwortlich und bietet eine Belohnung von 10 % f\u00fcr die R\u00fcckgabe der gestohlenen Gelder an. Laut der Nachuntersuchung von<\/p>\n","protected":false},"author":3,"featured_media":8760,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[344,13,65,1525,21,2038,8386,77,8387],"class_list":["post-8761","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-bnb-chain","tag-ethereum","tag-hack","tag-peckshield","tag-tether-usdt","tag-tornado-cash","tag-unichain","tag-usdc","tag-venus-protocol"],"yoast_description":"Das dezentrale Finanzprotokoll Bunni erlebte einen Exploit in H\u00f6he von 8,4 Millionen US-Dollar aufgrund eines Rundungsfehlers in seinem Smart Contract, was zu erheblichen Manipulationen der Liquidit\u00e4t f\u00fchrte.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/8761","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/comments?post=8761"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/8761\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media\/8760"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media?parent=8761"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/categories?post=8761"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/tags?post=8761"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}