Dezentrale Börse BunniXYZ verliert 8,4 Millionen US-Dollar durch Liquiditäts-Exploit

Die dezentrale Börse (DEX) BunniXYZ hat Berichten zufolge 8,4 Millionen Dollar durch einen liquiditätsbasierten Sicherheitsangriff verloren.

Laut dem On-Chain-Sicherheitsunternehmen Hacken wurden 6 Millionen Dollar der Gelder der DEX über die Unichain-Blockchain und 2,4 Millionen Dollar über Ethereum gestohlen. Alle Unichain-Gelder wurden anschließend mithilfe des Across Protocols zu Ethereum überbrückt.

BunniXYZ bestätigte den Angriff in einem Tweet und teilte mit, dass alle Smart-Contract-Aktivitäten im Netzwerk pausiert wurden und man die Umstände des Angriffs „aktiv untersuche“. Es wurde hinzugefügt, dass bald weitere Updates folgen werden.

BunniXYZ wurde im Februar 2025 gegründet, basiert auf dem automatisierten Market Maker Uniswap v4 und nutzt hauptsächlich die Blockchains Ethereum und Unichain. Laut DeFiLlama beträgt der aktuelle Cross-Chain Total Value Locked (TVL) etwas mehr als 50 Millionen Dollar, wobei der Wert Anfang August zeitweise über 80 Millionen Dollar lag.

Michael Bentley, Mitbegründer des Lending-Protokolls Euler, riet den Nutzern in einem Tweet, ihre Gelder von Bunni abzuziehen. Er fügte hinzu, dass, obwohl die DEX Gelder in und aus Euler ausgleicht, das Lending-Protokoll „nicht betroffen oder gefährdet“ sei. Euler selbst erlitt 2023 einen großen Exploit, bei dem Hacker fast 200 Millionen Dollar stahlen, der Großteil davon wurde später zurückgewonnen.

Was ist passiert?

Laut dem On-Chain-Analysten Victor Tran, Mitbegründer von Kyber Network, manipulierten Hacker Bunnis „Liquidity Curve“, auch bekannt als LDF (Liquidity Density Function). Dies ist das System, das berechnet, wie viel zusätzliche Liquidität innerhalb der Börse existiert und den Liquiditätspool neu ausbalanciert, um das richtige Verhältnis der Token zu gewährleisten.

Tran sagte, die Hacker hätten diese LDF „durch Trades mit sehr spezifischen Größen“ manipuliert. Dadurch wurde die Neuberechnung der Ausbalancierung gestört, was zu falschen Ergebnissen darüber führte, wie viel jeder Anteil am Liquiditätspool besitzen sollte.

Durch die wiederholte Anwendung dieses Prozesses sollen die Hacker angeblich mehr Token abgezogen haben, als ihnen eigentlich zustanden.

Bunni selbst hat den Mechanismus hinter dem Angriff bisher noch nicht bestätigt.