Эксплуатация протокола Bunni
Децентрализованный финансовый протокол Bunni подвергся эксплуатации на сумму $8.4 миллиона 2 сентября, когда злоумышленник использовал флеш-кредит для манипуляции ликвидностью на Ethereum и Unichain. Инцидент, затронувший пулы weETH/ETH и USDC/USDT, произошел из-за ошибки в логике смарт-контракта Bunni, связанной с округлением. Протокол обвиняет эту ошибку в потере $2.3 миллиона и предлагает вознаграждение в размере 10% за возврат средств.
Этапы эксплуатации
Согласно посмертному отчету Bunni, эксплуатация была осуществлена в три этапа.
Сначала злоумышленник занял 3 миллиона USDT через флеш-кредит и использовал их для манипуляции спотовой ценой пула USDC/USDT до экстремальных уровней. С активным балансом USDC в пуле, уменьшенным до всего лишь 28 wei, злоумышленник инициировал 44 небольших вывода. Это использовало ошибку округления в коде Bunni, что непропорционально снизило ликвидность пула более чем на 84%. С искусственно подавленной ликвидностью злоумышленник провел сэндвич-атаку, осуществляя крупные обмены, которые искажали цены. В результате они извлекли прибыль перед погашением флеш-кредита, получив в общей сложности около 1.33 миллиона USDC и 1 миллион USDT.
Причины уязвимости
Блокчейн-безопасная компания Cyfrin подтвердила, что уязвимость возникла из-за неправильного округления балансов во время выводов.
Хотя механизм был разработан для обеспечения безопасности пула путем недооценки ликвидности, повторяющиеся мелкие выводы создали условия, которые позволили использовать логику округления в больших масштабах. Bunni отметила, что ее крупнейший пул, пара USDC/USD₮0 Unichain, был спасен из-за недостаточной ликвидности флеш-кредита, доступной для атаки. Для эксплуатации этого пула потребовалось бы примерно $17 миллионов заимствованных активов, но в то время было доступно только $11 миллионов на кредитных площадках.
Действия после инцидента
Bunni подтвердила, что украденные активы теперь разделены между двумя кошельками, связанными со злоумышленником. Следователи проследили происхождение средств, но столкнулись с тупиком, обнаружив, что кошельки были профинансированы через Tornado Cash, санкционированный инструмент конфиденциальности. Команда связалась со злоумышленником напрямую в сети, предложив вознаграждение в 10% в обмен на возврат оставшихся средств. Централизованные биржи также были уведомлены, чтобы предотвратить любые попытки вывода, в то время как правоохранительные органы были привлечены для поиска вариантов восстановления.
Возобновление операций
В ближайшие дни Bunni приостановила все операции, но затем снова включила выводы, чтобы позволить поставщикам ликвидности вернуть свои депозиты. Депозиты и обмены остаются замороженными, пока разработчики работают над исправлением. Изменение направления округления затронутой функции нейтрализует текущий вектор эксплуатации, хотя команда признала, что необходимы более обширные тестирования и улучшения безопасности перед полным открытием.
Будущее Bunni
Bunni, управляемая шестичленным коллективом, заявила о своей приверженности продолжению разработки, несмотря на неудачу. Протокол представил новые концепции, такие как Функции Плотности Ликвидности (LDF), которые команда считает новым поколением автоматизированных маркет-мейкеров.
«Мы потратили годы на создание Bunni, потому что верим, что это будущее AMM», — заявила команда в своем заявлении, пообещав укрепить свою кодовую базу и тестовые фреймворки, чтобы предотвратить подобные атаки.
Общие потери в криптоиндустрии
Август стал третьим худшим месяцем для безопасности криптовалют, так как $163 миллиона были потеряны из-за взломов и мошенничества. Bunni, когда-то имевший более $80 миллионов общей заблокированной стоимости (TVL) на BNB Chain, теперь держит чуть более $50 миллионов после эксплуатации. Инцидент добавляет к череде атак и мошенничеств, наносящих удар по сектору.
Другие инциденты
Всего за день до этого пользователь Venus Protocol потерял $13.5 миллиона в фишинговой схеме. Согласно данным блокчейн-безопасной компании PeckShield, жертва неосознанно одобрила злонамеренную транзакцию, предоставив разрешения на токены, что позволило кражу. Хотя первоначальные отчеты указывали на то, что было украдено $27 миллионов, последующий анализ показал, что долговые позиции были ошибочно включены в эту сумму. Venus подчеркнула, что ее смарт-контракты остались безопасными и подтвердила, что только пользователь был скомпрометирован.
Инцидент произошел после всплеска крипто-эксплуатаций в августе, при этом данные PeckShield показывают, что $163 миллиона были украдены в 16 крупных атаках, по сравнению с $142 миллиона в июле. Убытки сделали август третьим худшим месяцем для безопасности криптовалют в 2025 году. Самая крупная единичная кража произошла 19 августа, когда держатель Bitcoin потерял 783 BTC, стоимостью $91.4 миллиона, в схеме социальной инженерии. Злоумышленники якобы выдавали себя за сотрудников поддержки аппаратных кошельков, чтобы получить конфиденциальные учетные данные, прежде чем отмывать средства через Wasabi Wallet.
Турецкая биржа BtcTurk также пострадала, потеряв $54 миллиона в результате взлома горячего кошелька на нескольких цепочках через семь блокчейн-сетей. Инцидент привел к тому, что ее совокупные убытки превысили $100 миллионов после предыдущего взлома в июне 2024 года. Другие заметные случаи включали потерю ODIN•FUN в $7 миллионов, эксплуатацию BetterBank.io на $5 миллионов и крах CrediX Finance на $4.5 миллиона, который превратился в выходное мошенничество после того, как разработчики покинули проект.
С учетом фишинга, уязвимостей бирж и выходных мошенничеств, август подчеркнул, как технические недостатки и человеческие ошибки продолжают преследовать криптоиндустрию.
