Bunni DEX 遭受攻擊:約 240 萬美元被盜,合約暫停

經濟新聞   |   5小時前

以太坊上的流動性提供者 (LP) 基金遭遇了新的攻擊:專門用於流動性管理的Bunni協議在發生約 230 萬美元至 240 萬美元的異常提現後暫停了合約。據The Block報道,這與OpenZeppelin 安全報告中分析的風險一致。初步分析表明,該漏洞可能利用了流動性分配函數中的漏洞,從而不當更改了 LP 份額。

根據我們鏈上分析團隊收集的截至2025年9月2日的數據,這些可疑交易呈現出重複的模式,並存在向多個地址進行零散轉賬的情況,這與旨在利用再平衡機制的攻擊行爲相符。我們對公共瀏覽器的交叉檢查顯示,USDC 和 USDT 的提現金額分別約爲 133 萬美元和 104 萬美元。行業分析師指出,與再平衡邏輯和預言機相關的漏洞是近期 DeFi 事件反覆出現的原因。

簡述:我們目前對 Bunni DEX 黑客攻擊的瞭解

  • :Bunni,以太坊上的流動性管理協議。
  • 內容:從智能合約中抽取資金並暫停運營作爲預防性安全措施。
  • Dove :以太坊網絡,具有鏈上可追蹤的運動。
  • 時間:事件在 2025 年 9 月 2 日之前的幾天內檢測到;調查仍在進行中。
  • 方式:通過操縱流動性再平衡機制,導致LP份額計算錯誤。

事件時間表

基本序列

  • 檢測穩定幣池中的異常變動,特別是USDCUSDT
  • 球隊官方通報,確認事件,並暫停合同以控制損失。
  • 初步鏈上分析:估計損失約爲 230 至 240 萬美元,且存在重複提款和調整金額的情況。
  • 啓動流動性分配功能和再平衡機制的技術檢查。

鏈上細節

  • 受影響的資產:穩定幣USDC(約133萬美元)和USDT(約104萬美元),合計約等於總損失的估計值。
  • 模式:一系列具有校準金額的有針對性的交易,以迫使 LP 進行不利的重新平衡。
  • 地址和哈希值:經過各種區塊鏈分析公司檢查,儘管尚未公開發布對探索者的直接引用。

包括The BlockBitcoinEthereumNews在內的多家媒體都報道了這些因素,強調了在合約暫停前的幾個小時內反覆出現的可疑轉賬模式。

脆弱性機制

流動性分配如何運作

Bunni 採用流動性分配功能,允許在特定價格範圍內配置資金,並通過交易引發的再平衡來優化流動性提供者 (LP) 的回報。其目標是限制基金慣性;然而,如果再平衡邏輯不夠穩健,這種方法可能會帶來新的攻擊面。

系統卡住的地方

  • 通過有針對性的、重複的交易操作來操縱曲線。
  • 重新平衡後,LP 頭寸的計算導致了錯誤的份額。
  • 資金逐漸流失,旨在逃避自動防禦觸發器的激活。

本質上,非彈性的再平衡邏輯允許攻擊者從流動性提供者(LP)那裏獲取價值,而不會立即觸發警報機制。一個有趣的方面是金額的模塊化,這表明這是一種經過微調的策略。

影響和數字

  • 估計損失:約230萬至240萬美元。
  • 涉及的代幣:USDC 和 USDT。
  • 運行狀態:合約已暫停,智能功能暫停。
  • 關鍵點:LP 股份的計算和再平衡過程中的流動性管理。

官方反應和背景

Bunni 團隊已宣佈暫停合約,作爲一項緊急安全措施,並澄清正在進行事後分析,以識別並修復漏洞。目前,尚未提供任何直接引述或帶有可驗證時間戳的官方聲明;調查仍在進行中,首要任務仍然是確保合約和剩餘流動性的安全。

緩解措施

  • 正在對再平衡功能和 LP 會計機制進行審計,包括對抗場景中的測試。
  • 交易規模的限制可能會觸發敏感的重新平衡。
  • 實施熔斷機制,實時監控LP報價的滑點和異常變化。
  • 使用時間鎖進行關鍵更改並採用多重簽名操作進行管理功能。
  • 建立應急基金或保險範圍以減輕對用戶的影響。

這些對策在 DeFi 風險管理中至關重要。

流動性協議操作指南

  • 在正式發佈之前執行壓力測試和經濟攻擊模擬。
  • 對影響分佈曲線的函數實施速率限制。
  • 主動監控滑點、LP 份額變化以及錢包意外流入等警報指標。
  • 定期更新事件響應程序和演習以驗證其有效性。
  • 使用可靠的預言機並引入數學護欄來防止計算錯誤。

用戶和開發人員的後續步驟

  • 用戶:監控官方協議更新並檢查鏈上日誌以瞭解受影響池中的任何變化。
  • 開發人員:完成技術事後分析,發佈臨時補丁,並計劃針對流動性管理功能和 LP 計算的獨立審計。

監控什麼

  • Tx 哈希和地址在EtherscanBlockscout等瀏覽器上確認,以實現完整的可追溯性。
  • 有關補丁發佈和合同重新激活的預期時間表的更新。
  • 區塊鏈分析公司的取證報告和公共審計結果。
  • 任何返還挪用資金的賞金計劃或協議。

結論

對 Bunni 的攻擊表明,當再平衡機制不夠健全時,流動性分配的創新可能會引入新的攻擊面。

曲線操縱和 LP 計算錯誤相結合,導致大約 230 至 240 萬美元的穩定幣被盜。

必須說,現在的首要任務是完成透明的事後分析,糾正流動性管理邏輯,並引入更嚴格的防禦性控制。

號碼和地址(摘要)

  • 估計金額:約230萬至240萬美元。
  • 代幣:USDC(約133萬)和USDT(約104萬)。
  • 狀態:合同暫停,調查正在進行中。

推薦閱讀

相關文章

日本推出 XRP 和比特幣 ETF:SBI 控股的歷史性轉折點

SBI 控股已在日本提交文件,將推出兩隻與XRP和比特幣掛鉤的 ETF,此舉可能會徹底改變該國多頭投資者獲取加密貨幣的方式。

Netflix:GenAI 人工智能進入電影和電視劇

Netflix 向視聽製作的未來邁出了決定性的一步,首次在其電影和節目中引入 GenAI。這一消息由聯合首席執行官泰德·薩蘭多斯 (Ted Sarandos) 在公司最近的業績電話會議上直接宣佈,標誌着整個娛樂行業的歷史性時刻。

最佳加密貨幣期貨平臺?CoinFutures.io 評測

頂級在線加密賭場 CoinPoker 繼續搶盡風頭,不僅因爲其高質量的撲克遊戲玩法,還因爲其名爲CoinFutures的高速加密期貨分支。該平臺採用模擬真實市場波動的智能算法,開闢了其他地方很少見到的加密貨幣價格變動投注可能性的新領域。

特朗普媒體牽頭成立一家價值 1.79 億美元的 SPAC,用於加密貨幣領域的收購

一家價值1.79 億美元的新特殊目的收購公司 (SPAC) 由特朗普媒體牽頭,可能專注於收購一家活躍於加密貨幣或區塊鏈領域的美國公司。該項目由特朗普媒體與科技集團的高管領導,進一步加強了前總統唐納德·特朗普與數字資產領域的聯繫。

關於 Grok:徹底改變 X 的 AI

隨着埃隆·馬斯克收購 Twitter 並更名爲 X,該平臺經歷了重大變革。最有趣的創新之一是 Grok,這是一種集成的 AI,有望增強用戶體驗。但是什麼讓 Grok 如此特別?讓我們一起來了解一下。 Grok 是由埃隆·馬斯克創辦的公司xAI開發的人工智能。

全球 Web3 利益相關者將在 2024 年印度區塊鏈週上探索與印度科技生態系統的合作

班加羅爾,2024 年 10 月 15 日: 2024 年 11 月 30 日至 12 月 8 日,頂級國際 Web3 參與者將前往班加羅爾參加印度區塊鏈周 (IBW),以促進與印度創新生態系統的有目的的合作。今年,IBW 將舉辦 100 多場精彩活動,是印度首個多鏈平臺,旨在促進各行各業大規模採用區塊鏈創新。