Bunni DEX potwierdza zamknięcie po stracie 8,4 miliona dolarów w wyniku ataku we wrześniu

W nowym ciosie dla branży zdecentralizowanych finansów, Bunni ogłosiło zamknięcie działalności po poważnym ataku, który zatrzymał jej operacje.

Bunni, zdecentralizowana giełda znana z innowacji w zakresie płynności, oficjalnie zakończyła działalność po poważnym exploicie, który wyczerpał ponad 8,4 mln USD środków użytkowników.

Deklaracja została ogłoszona 23 października na oficjalnym koncie projektu w serwisie X, gdzie zespół poinformował, że atak zatrzymał rozwój i uniemożliwił bezpieczne ponowne uruchomienie projektu. Zamknięcie oznacza koniec jednej z najbardziej ambitnych technicznie giełd DeFi, zbudowanej na Uniswap (UNI) V4 hooks.

Atak uniemożliwił projektowi odbudowę

Atak, wymierzony w główne smart kontrakty Bunni na Ethereum (ETH) i Unichain, miał miejsce na początku września. Atakujący wykorzystali lukę w funkcji Liquidity Distribution Function projektu, która miała optymalizować zyski dostawców płynności, co pozwoliło im wypłacić więcej środków niż im przysługiwało poprzez manipulację flash loanami i błędy zaokrągleń.

Około 8,4 mln USD zostało wyprowadzone, głównie w USDC i USDT, zanim zespół zamroził operacje kontraktów. Zaproponowano nagrodę w wysokości 10% za odzyskanie środków, jednak atakujący nie odpowiedział. Pomimo wcześniejszych audytów przeprowadzonych przez Trail of Bits i Cyfrin, błąd został sklasyfikowany jako „błąd na poziomie logiki”, a nie błąd implementacyjny.

Od czasu ataku całkowita wartość zablokowana w Bunni spadła z ponad 60 mln USD do niemal zera, a aktywność handlowa i deweloperska została wstrzymana.

Pożegnanie open-source i plan rekompensaty dla użytkowników

W oświadczeniu o zamknięciu zespół Bunni poinformował, że wznowienie działalności w bezpieczny sposób wymagałoby „sześciocyfrowych do siedmiocyfrowych” kosztów audytów i monitoringu oraz miesięcy ponownego rozwoju, na co nie było ich stać.

Użytkownicy nadal będą mogli wypłacać środki za pośrednictwem strony internetowej Bunni do odwołania. Pozostałe środki z treasury zostaną rozdzielone pomiędzy posiadaczy BUNNI, LIT i veBUNNI na podstawie snapshotu po zakończeniu procesu prawnego. Członkowie zespołu zostaną wykluczeni z dystrybucji.

Jako ostatni krok, Bunni zmieniło licencję swoich smart kontraktów v2 z BUSL na MIT, udostępniając swoje technologie, w tym LDF, surge fees i autonomiczne rebalansowanie, innym deweloperom. Zespół poinformował, że nadal współpracuje z organami ścigania w celu odzyskania skradzionych środków.

Zamknięcie Bunni pogłębia trudny rok dla bezpieczeństwa blockchain, w którym do tej pory w 2025 roku stracono ponad 3,1 mld USD w wyniku ataków i exploitów.