Новий напад вразив LP фонди на Ethereum: протокол Bunni, спеціалізований на управлінні ліквідністю, тимчасово призупинив контракти після аномального виведення, оціненого приблизно в 2,3-2,4 мільйона доларів – про це повідомляє The Block і відповідно до ризиків, проаналізованих у Звіті з безпеки OpenZeppelin. Попередні аналізи вказують на те, що експлойт міг використати вразливість у функції розподілу ліквідності, неправильно змінивши частки LP.
Згідно з даними, зібраними нашою командою з аналізу в ланцюгу, оновленими станом на 2 вересня 2025 року, підозрілі транзакції демонструють повторювані патерни та дробові перекази на кілька адрес, що відповідає атаці, спрямованій на використання ребалансування. Наші перехресні перевірки на публічних експлорерах вказують на відкалібровані виведення в USDC та USDT на приблизно 1,33 мільйона доларів та 1,04 мільйона доларів відповідно. Аналітики індустрії зазначають, що вразливості, пов'язані з логікою ребалансування та оракулами, є повторюваною причиною нещодавніх інцидентів у DeFi.
У короткому огляді: що ми знаємо на даний момент про злом Bunni DEX
Хто: Bunni, протокол управління ліквідністю на Ethereum.
Що: Викачування коштів з смарт-контрактів та операційне призупинення як превентивний захід безпеки.
Місце: мережа Ethereum, з відстежуваними в ланцюзі переміщеннями.
Коли: Подія була виявлена в дні, що передували 2 вересня 2025 року; розслідування все ще тривають.
Як: Через маніпуляцію механізмами перерозподілу ліквідності, що призвело до помилок у розрахунках часток LP.
Хронологія подій
Основна послідовність
Виявлення незвичних рухів у пулах зі стейблкоїнами, зокрема USDC та USDT.
Офіційне повідомлення від команди, підтвердження інциденту та призупинення контрактів для обмеження збитків.
Попередній аналіз в ланцюзі: оцінені збитки в межах приблизно 2.3 та 2.4 мільйонів доларів, з повторними виведеннями та модульованими сумами.
Ініціація технічних перевірок функції розподілу ліквідності та механізму ребалансування.
Деталі в ланцюзі
Постраждалі активи: стейблкоїн USDC ( приблизно 1,33 мільйона доларів ) та USDT ( приблизно 1,04 мільйона доларів ), які разом сходяться на оцінці загальних втрат.
Шаблон: серія цілеспрямованих угод з відкаліброваними сумами для примусового невигідного ребалансування для LP.
Адреси та хеші: вивчені різними компаніями з аналізу блокчейнів, хоча прямі посилання на оглядачів ще не були опубліковані.
Різні ЗМІ, включаючи The Block та BitcoinEthereumNews, повідомили про ці елементи, підкреслюючи повторювані патерни підозрілих трансфертів за кілька годин до призупинення контрактів.
Механіка вразливості
Як працює розподіл ліквідності
Bunni використовує функцію розподілу ліквідності, яка дозволяє капіталу бути розподіленим у специфічних цінових діапазонах, оптимізуючи прибутки LP через ребалансування, зумовлене транзакціями. Мета полягає в обмеженні інерції фонду; однак, цей підхід може відкрити нові вектори атак, якщо логіка ребалансування не є достатньо надійною.
Де система застрягла
Маніпуляція кривою через цілеспрямовані та повторювані торгові операції.
Розрахунки позицій LP, які, після ребалансування, призвели до неправильних часток.
Поступове вичерпання коштів, організоване для ухилення від активації автоматичних захисних тригерів.
По суті, нерезилентна логіка перерозподілу дозволила нападникам витягувати вартість з LP без негайного спрацьовування механізмів сповіщення. Цікавим аспектом є модульність сум, що свідчить про тонко налаштовану стратегію.
Вплив та числа
Оцінкові втрати: приблизно 2,3–2,4 мільйона доларів.
Токени, які беруть участь: USDC та USDT.
Операційний стан: контракти були призупинені, а смарт-функції наразі зупинені.
Критична точка: облік акцій LP та управління ліквідністю під час процесів ребалансування.
Офіційні реакції та контекст
Команда Bunni оголосила про призупинення контрактів як терміновий захід безпеки, уточнивши, що в даний час проводиться аналіз після інциденту для виявлення та виправлення вразливості. На даний момент не було надано жодних прямих цитат або офіційних заяв з перевіреними часовими мітками; розслідування тривають, і пріоритетом залишається забезпечення контрактів та залишкової ліквідності.
Заходи пом'якшення
Поточні аудити функцій ребалансування та механізмів обліку LP, включаючи тести в умовах протидії.
Обмеження розміру транзакції, яке може викликати чутливий ребаланс.
Впровадження автоматичного вимикача та моніторинг у реальному часі ковзання і аномальних змін у котируваннях LP.
Використання таймлока для критичних змін та прийняття мультипідписних операцій для адміністративних функцій.
Створення фондів надзвичайних ситуацій або страхового покриття для пом'якшення впливу на користувачів.
Ці контрзаходи є суттєвими в управлінні ризиками DeFi.
Операційний посібник для ліквідності протоколів
Виконання стрес-тестів та симуляцій економічних атак перед офіційними релізами.
Впровадження обмеження швидкості на функції, що впливають на криву розподілу.
Активний моніторинг метрик тривоги, таких як сліп, зміни у частках LP та несподівані потоки до гаманців.
Перiодичне оновлення процедур реагування на інциденти та навчань для перевірки їхньої ефективності.
Використання надійних оракулів та впровадження математичних захисних механізмів для запобігання помилкам у розрахунках.
Наступні кроки для користувачів та розробників
Користувачі: Слідкуйте за офіційними оновленнями протоколу та перевіряйте ончейн журнали на наявність змін у постраждалих пулах.
Розробники: Завершіть технічний аналіз, випустіть тимчасові патчі та сплануйте незалежний аудит, зосереджений на функції управління ліквідністю та розрахунках LP.
Що моніторити
Tx хеш та адреси підтверджені на експлорері, як-от Etherscan або Blockscout для повної трасованості.
Оновлення про випуск патчів та очікуваний графік повторної активації контрактів.
Судово-медичні звіти від компаній з аналізу блокчейну та результати публічних аудитів.
Будь-які програми винагород або угоди щодо повернення неправомірно привласнених коштів.
Висновки
Атака на Bunni показує, як інновації в розподілі ліквідності можуть вводити нові поверхні атак, коли механізм перерозподілу недостатньо надійний.
Комбінація маніпуляцій з кривими та помилок у розрахунках LP дозволила вилучити приблизно 2,3–2,4 мільйона доларів у стейблкоїнах.
Слід сказати, що пріоритетом зараз є завершення прозорого аналізу після інциденту, корекція логіки управління ліквідністю та впровадження більш суворих захисних контролів.
Числа та адреси (резюме)
Орієнтовна сума: приблизно 2.3–2.4 мільйона доларів.
Токен: USDC ( приблизно 1.33M) та USDT ( приблизно 1.04M).
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Bunni DEX під атакою: приблизно 2,4 мільйона стейблкоїнів вкрадено на Ethereum, контракти п...
Новий напад вразив LP фонди на Ethereum: протокол Bunni, спеціалізований на управлінні ліквідністю, тимчасово призупинив контракти після аномального виведення, оціненого приблизно в 2,3-2,4 мільйона доларів – про це повідомляє The Block і відповідно до ризиків, проаналізованих у Звіті з безпеки OpenZeppelin. Попередні аналізи вказують на те, що експлойт міг використати вразливість у функції розподілу ліквідності, неправильно змінивши частки LP.
Згідно з даними, зібраними нашою командою з аналізу в ланцюгу, оновленими станом на 2 вересня 2025 року, підозрілі транзакції демонструють повторювані патерни та дробові перекази на кілька адрес, що відповідає атаці, спрямованій на використання ребалансування. Наші перехресні перевірки на публічних експлорерах вказують на відкалібровані виведення в USDC та USDT на приблизно 1,33 мільйона доларів та 1,04 мільйона доларів відповідно. Аналітики індустрії зазначають, що вразливості, пов'язані з логікою ребалансування та оракулами, є повторюваною причиною нещодавніх інцидентів у DeFi.
У короткому огляді: що ми знаємо на даний момент про злом Bunni DEX
Хто: Bunni, протокол управління ліквідністю на Ethereum.
Що: Викачування коштів з смарт-контрактів та операційне призупинення як превентивний захід безпеки.
Місце: мережа Ethereum, з відстежуваними в ланцюзі переміщеннями.
Коли: Подія була виявлена в дні, що передували 2 вересня 2025 року; розслідування все ще тривають.
Як: Через маніпуляцію механізмами перерозподілу ліквідності, що призвело до помилок у розрахунках часток LP.
Хронологія подій
Основна послідовність
Виявлення незвичних рухів у пулах зі стейблкоїнами, зокрема USDC та USDT.
Офіційне повідомлення від команди, підтвердження інциденту та призупинення контрактів для обмеження збитків.
Попередній аналіз в ланцюзі: оцінені збитки в межах приблизно 2.3 та 2.4 мільйонів доларів, з повторними виведеннями та модульованими сумами.
Ініціація технічних перевірок функції розподілу ліквідності та механізму ребалансування.
Деталі в ланцюзі
Постраждалі активи: стейблкоїн USDC ( приблизно 1,33 мільйона доларів ) та USDT ( приблизно 1,04 мільйона доларів ), які разом сходяться на оцінці загальних втрат.
Шаблон: серія цілеспрямованих угод з відкаліброваними сумами для примусового невигідного ребалансування для LP.
Адреси та хеші: вивчені різними компаніями з аналізу блокчейнів, хоча прямі посилання на оглядачів ще не були опубліковані.
Різні ЗМІ, включаючи The Block та BitcoinEthereumNews, повідомили про ці елементи, підкреслюючи повторювані патерни підозрілих трансфертів за кілька годин до призупинення контрактів.
Механіка вразливості
Як працює розподіл ліквідності
Bunni використовує функцію розподілу ліквідності, яка дозволяє капіталу бути розподіленим у специфічних цінових діапазонах, оптимізуючи прибутки LP через ребалансування, зумовлене транзакціями. Мета полягає в обмеженні інерції фонду; однак, цей підхід може відкрити нові вектори атак, якщо логіка ребалансування не є достатньо надійною.
Де система застрягла
Маніпуляція кривою через цілеспрямовані та повторювані торгові операції.
Розрахунки позицій LP, які, після ребалансування, призвели до неправильних часток.
Поступове вичерпання коштів, організоване для ухилення від активації автоматичних захисних тригерів.
По суті, нерезилентна логіка перерозподілу дозволила нападникам витягувати вартість з LP без негайного спрацьовування механізмів сповіщення. Цікавим аспектом є модульність сум, що свідчить про тонко налаштовану стратегію.
Вплив та числа
Оцінкові втрати: приблизно 2,3–2,4 мільйона доларів.
Токени, які беруть участь: USDC та USDT.
Операційний стан: контракти були призупинені, а смарт-функції наразі зупинені.
Критична точка: облік акцій LP та управління ліквідністю під час процесів ребалансування.
Офіційні реакції та контекст
Команда Bunni оголосила про призупинення контрактів як терміновий захід безпеки, уточнивши, що в даний час проводиться аналіз після інциденту для виявлення та виправлення вразливості. На даний момент не було надано жодних прямих цитат або офіційних заяв з перевіреними часовими мітками; розслідування тривають, і пріоритетом залишається забезпечення контрактів та залишкової ліквідності.
Заходи пом'якшення
Поточні аудити функцій ребалансування та механізмів обліку LP, включаючи тести в умовах протидії.
Обмеження розміру транзакції, яке може викликати чутливий ребаланс.
Впровадження автоматичного вимикача та моніторинг у реальному часі ковзання і аномальних змін у котируваннях LP.
Використання таймлока для критичних змін та прийняття мультипідписних операцій для адміністративних функцій.
Створення фондів надзвичайних ситуацій або страхового покриття для пом'якшення впливу на користувачів.
Ці контрзаходи є суттєвими в управлінні ризиками DeFi.
Операційний посібник для ліквідності протоколів
Виконання стрес-тестів та симуляцій економічних атак перед офіційними релізами.
Впровадження обмеження швидкості на функції, що впливають на криву розподілу.
Активний моніторинг метрик тривоги, таких як сліп, зміни у частках LP та несподівані потоки до гаманців.
Перiодичне оновлення процедур реагування на інциденти та навчань для перевірки їхньої ефективності.
Використання надійних оракулів та впровадження математичних захисних механізмів для запобігання помилкам у розрахунках.
Наступні кроки для користувачів та розробників
Користувачі: Слідкуйте за офіційними оновленнями протоколу та перевіряйте ончейн журнали на наявність змін у постраждалих пулах.
Розробники: Завершіть технічний аналіз, випустіть тимчасові патчі та сплануйте незалежний аудит, зосереджений на функції управління ліквідністю та розрахунках LP.
Що моніторити
Tx хеш та адреси підтверджені на експлорері, як-от Etherscan або Blockscout для повної трасованості.
Оновлення про випуск патчів та очікуваний графік повторної активації контрактів.
Судово-медичні звіти від компаній з аналізу блокчейну та результати публічних аудитів.
Будь-які програми винагород або угоди щодо повернення неправомірно привласнених коштів.
Висновки
Атака на Bunni показує, як інновації в розподілі ліквідності можуть вводити нові поверхні атак, коли механізм перерозподілу недостатньо надійний.
Комбінація маніпуляцій з кривими та помилок у розрахунках LP дозволила вилучити приблизно 2,3–2,4 мільйона доларів у стейблкоїнах.
Слід сказати, що пріоритетом зараз є завершення прозорого аналізу після інциденту, корекція логіки управління ліквідністю та впровадження більш суворих захисних контролів.
Числа та адреси (резюме)
Орієнтовна сума: приблизно 2.3–2.4 мільйона доларів.
Токен: USDC ( приблизно 1.33M) та USDT ( приблизно 1.04M).
Статус: контракти призупинені, розслідування тривають.