Bunni DEX 遭受攻击:约 240 万美元被盗,合约暂停

经济新闻   |   4小时前

以太坊上的流动性提供者 (LP) 基金遭遇了新的攻击:专门用于流动性管理的Bunni协议在发生约 230 万美元至 240 万美元的异常提现后暂停了合约。据The Block报道,这与OpenZeppelin 安全报告中分析的风险一致。初步分析表明,该漏洞可能利用了流动性分配函数中的漏洞,从而不当更改了 LP 份额。

根据我们链上分析团队收集的截至2025年9月2日的数据,这些可疑交易呈现出重复的模式,并存在向多个地址进行零散转账的情况,这与旨在利用再平衡机制的攻击行为相符。我们对公共浏览器的交叉检查显示,USDC 和 USDT 的提现金额分别约为 133 万美元和 104 万美元。行业分析师指出,与再平衡逻辑和预言机相关的漏洞是近期 DeFi 事件反复出现的原因。

简述:我们目前对 Bunni DEX 黑客攻击的了解

  • :Bunni,以太坊上的流动性管理协议。
  • 内容:从智能合约中抽取资金并暂停运营作为预防性安全措施。
  • Dove :以太坊网络,具有链上可追踪的运动。
  • 时间:事件在 2025 年 9 月 2 日之前的几天内检测到;调查仍在进行中。
  • 方式:通过操纵流动性再平衡机制,导致LP份额计算错误。

事件时间表

基本序列

  • 检测稳定币池中的异常变动,特别是USDCUSDT
  • 球队官方通报,确认事件,并暂停合同以控制损失。
  • 初步链上分析:估计损失约为 230 至 240 万美元,且存在重复提款和调整金额的情况。
  • 启动流动性分配功能和再平衡机制的技术检查。

链上细节

  • 受影响的资产:稳定币USDC(约133万美元)和USDT(约104万美元),合计约等于总损失的估计值。
  • 模式:一系列具有校准金额的有针对性的交易,以迫使 LP 进行不利的重新平衡。
  • 地址和哈希值:经过各种区块链分析公司检查,尽管尚未公开发布对探索者的直接引用。

包括The BlockBitcoinEthereumNews在内的多家媒体都报道了这些因素,强调了在合约暂停前的几个小时内反复出现的可疑转账模式。

脆弱性机制

流动性分配如何运作

Bunni 采用流动性分配功能,允许在特定价格范围内配置资金,并通过交易引发的再平衡来优化流动性提供者 (LP) 的回报。其目标是限制基金惯性;然而,如果再平衡逻辑不够稳健,这种方法可能会带来新的攻击面。

系统卡住的地方

  • 通过有针对性的、重复的交易操作来操纵曲线。
  • 重新平衡后,LP 头寸的计算导致了错误的份额。
  • 资金逐渐流失,旨在逃避自动防御触发器的激活。

本质上,非弹性的再平衡逻辑允许攻击者从流动性提供者(LP)那里获取价值,而不会立即触发警报机制。一个有趣的方面是金额的模块化,这表明这是一种经过微调的策略。

影响和数字

  • 估计损失:约230万至240万美元。
  • 涉及的代币:USDC 和 USDT。
  • 运行状态:合约已暂停,智能功能暂停。
  • 关键点:LP 股份的计算和再平衡过程中的流动性管理。

官方反应和背景

Bunni 团队已宣布暂停合约,作为一项紧急安全措施,并澄清正在进行事后分析,以识别并修复漏洞。目前,尚未提供任何直接引述或带有可验证时间戳的官方声明;调查仍在进行中,首要任务仍然是确保合约和剩余流动性的安全。

缓解措施

  • 正在对再平衡功能和 LP 会计机制进行审计,包括对抗场景中的测试。
  • 交易规模的限制可能会触发敏感的重新平衡。
  • 实施熔断机制,实时监控LP报价的滑点和异常变化。
  • 使用时间锁进行关键更改并采用多重签名操作进行管理功能。
  • 建立应急基金或保险范围以减轻对用户的影响。

这些对策在 DeFi 风险管理中至关重要。

流动性协议操作指南

  • 在正式发布之前执行压力测试和经济攻击模拟。
  • 对影响分布曲线的函数实施速率限制。
  • 主动监控滑点、LP 份额变化以及钱包意外流入等警报指标。
  • 定期更新事件响应程序和演习以验证其有效性。
  • 使用可靠的预言机并引入数学护栏来防止计算错误。

用户和开发人员的后续步骤

  • 用户:监控官方协议更新并检查链上日志以了解受影响池中的任何变化。
  • 开发人员:完成技术事后分析,发布临时补丁,并计划针对流动性管理功能和 LP 计算的独立审计。

监控什么

  • Tx 哈希和地址在EtherscanBlockscout等浏览器上确认,以实现完整的可追溯性。
  • 有关补丁发布和合同重新激活的预期时间表的更新。
  • 区块链分析公司的取证报告和公共审计结果。
  • 任何返还挪用资金的赏金计划或协议。

结论

对 Bunni 的攻击表明,当再平衡机制不够健全时,流动性分配的创新可能会引入新的攻击面。

曲线操纵和 LP 计算错误相结合,导致大约 230 至 240 万美元的稳定币被盗。

必须说,现在的首要任务是完成透明的事后分析,纠正流动性管理逻辑,并引入更严格的防御性控制。

号码和地址(摘要)

  • 估计金额:约230万至240万美元。
  • 代币:USDC(约133万)和USDT(约104万)。
  • 状态:合同暂停,调查正在进行中。

推荐阅读

相关文章

BTC 接近高点,ETH 强劲增长

如今, BTC价格已回升至122,000美元以上,距离7月中旬创下的123,000美元以上的历史高点仅一步之遥。 ETH 的价格也出现上涨,自 2021 年 11 月以来首次突破 4,300 美元。

2 月份加密货币 Solana 的资本外逃

2 月份,加密货币Solana (SOL) 的资金流出量高达近 5 亿美元,投资者倾向于将资金转移到被认为更安全的数字资产。这一动向反映出加密货币市场日益增长的不确定性,其中以太坊、Arbitrum 和 BNB Chain 是这些资本转移的主要受益者。

LuckHunter 价格预测 – 什么是 LHUNT GambleFi 代币?

受 LuckHunter 等新赌场平台的推动,加密赌博行业正在经历变革性转变。 LuckHunter 承诺重新定义整个赌场格局,计划让赌博爱好者和投资者拥有、租赁和租用虚拟赌桌。

萨尔瓦多·达利:使用人工智能进行的想象采访

利用Nova的人工智能,我们试图想象对萨尔瓦多达利的采访,主题是艺术、拍卖、艺术经济和 NFT 中的人工智能。事情可能的发展如下。早上好,达利先生。很荣幸能与您交谈。今天我们谈论一个非常热门的话题:艺术中的人工智能。您对此有什么看法?早上好!很高兴来到这里,尽管是以这种超现实的方式。

美国财政部利用人工智能追回数十亿美元

美国财政部在2024财年使用基于人工智能(AI)的机器学习来分析数据和识别欺诈行为,追回了数十亿美元的欺诈行为。财政部昨天在其官方网站上发布公告,披露了这一消息。这份简短的声明透露,美国财政部已经改进了其欺诈检测流程,其中包括使用基于机器学习的人工智能等。

Coinbase 被指控为贝莱德开具比特币欠条:首席执行官回应

上周末,X 上的一些账户大胆指控 Coinbase 与贝莱德合作提供比特币 IOU。有人猜测这两家公司想操纵 BTC 的价格。Coinbase 首席执行官 Brian Armstrong 立即做出回应,试图反驳这种阴谋的存在。