DEX Bunni подвергся атаке на смарт-контракт и потерял $2,3 миллиона

• Bunni DEX потеряла $2,3 миллиона в стейблкоинах
• Эксплуатация произошла из-за уязвимости в функции распределения ликвидности
• В 2025 году убытки уже превышают $3,1 миллиарда

Децентрализованная биржа Bunni подтвердила, что стала жертвой эксплойта смарт-контракта, в результате которого было утрачено примерно $2,3 миллиона в стейблкоинах. Атака произошла 2 сентября, после чего биржа приостановила все функции смарт-контрактов в своих сетях в качестве меры предосторожности.

"Наше приложение пострадало из-за уязвимости в системе безопасности. В качестве меры предосторожности мы приостановили работу всех смарт-контрактов во всех сетях. Наша команда активно расследует инцидент и скоро предоставит обновления," — говорится в сообщении Bunni в X.

🚨 Приложение Bunni подверглось атаке с использованием уязвимости в системе безопасности. В качестве меры предосторожности мы приостановили все функции смарт-контрактов во всех сетях. Наша команда активно расследует инцидент и скоро предоставит обновления. Спасибо за ваше терпение.

— Bunni (@bunni_xyz) 2 сентября 2025

Компания по кибербезопасности BlockSec одной из первых обнаружила аномальную активность. Злоумышленник воспользовался уязвимостью в функции распределения ликвидности (Liquidity Distribution Function, LDF) — уникальной функции Bunni, предназначенной для оптимизации распределения по различным ценовым диапазонам и позволяющей реализовывать более сложные стратегии, чем стандартный Uniswap.

ВНИМАНИЕ! Наша система обнаружила подозрительную транзакцию, нацеленную на контракт @bunni_xyz в сети #Ethereum, и сумма потерь составляет ~$2,3M. Пожалуйста, примите меры как можно скорее.

—BlockSec Phalcon (@Phalcon_xyz) 2 сентября 2025

Атака состояла из нескольких транзакций, которые искажали логику ребалансировки пула, позволяя выводить больше токенов, чем было доступно. После многократного повторения процесса злоумышленник консолидировал средства на одном Ethereum-кошельке, на котором сейчас находится $1,33 миллиона в USDC и $1,04 миллиона в USDT.

Инцидент произошел в критический момент для Bunni, которая недавно достигла общего объема заблокированных средств в $60 миллионов и превысила $1 миллиард торгового объема в августе. Запущенная в феврале, платформа работает как на Ethereum, так и на Unichain, используя технологию Uniswap V4.

Это была первая крупная атака на DeFi-протоколы в сентябре после августа, отмеченного значительными потерями. Только за прошлый месяц 16 инцидентов привели к убыткам на сумму $163 миллиона, включая кражу $91 миллиона у Bitcoin-кита с помощью социальной инженерии и атаку на турецкую биржу BtcTurk на $48 миллионов.

С учетом атаки на Bunni, совокупные потери в 2025 году уже превышают $3,1 миллиарда, превысив $2,2 миллиарда, зафиксированных за весь 2024 год, и вновь подчеркивают риски безопасности, которые по-прежнему стоят перед сектором DeFi.