BunniXYZ 以太坊交易所遭遇 230 萬美元破壞

2025-10-21 00:26:17

源加密都市

2025年9月2日 08:12

我在實時觀看BunniXYZ昨天被掏空的過程。又一天，又一個DeFi漏洞 - 這次是從以太坊交易所未經授權的流出總計約230萬美元。

此次黑客攻擊瞄準了BunniXYZ的一個智能合約，攻擊者主要針對穩定幣儲備。CertiK迅速發出警報：

🚨 > #CertiKInsight

我們已經認識到@bunni_xyz BunniHub同名上的$2.3M監摒.

惡意者已將資金轉移到0xe04efd87f410e260cf940a3bcb8bc61f33464f2b.

保持警惕!

— CertiK 警報 (@CertiKAlert) 2025 年 9 月 2 日

查看交易鏈，黑客先是攻擊了USDT和USDC的金庫，然後通過以太坊生態系統洗牌代幣，最終積累了一些ETH和穩定幣。BunniXYZ迅速識別出攻擊並關閉了所有智能合約，但在此之前已經造成了重大損失。

攻擊者隨後繼續通過各種DeFi協議將資金交換成ETH。有趣的是，他們並沒有立即對這些資金進行混合或模糊處理。此次黑客攻擊加入了一個日益增長的趨勢，即 “較小” 的攻擊，在$10M 下仍然對協議造成嚴重破壞，並摧毀用戶信心。

這些漏洞，比如最近的BetterBank攻擊，引發了關於潛在內部人員參與或朝鮮黑客向Web3項目注入惡意代碼的問題。

BunniXYZ 在以太坊和 Unichain 上運營，利用 Uniswap V4 技術爲具有復雜交易規則的專用保險庫提供服務。攻擊的時機似乎經過精心計算——正好在交易所達到 $60M 的鎖定價值局部高峯時襲來。

盡管相對較新(於二月)推出，BunniXYZ在新興DeFi協議中找到了自己的定位。八月特別成功，交易量超過$1B 。該交易所專注於再質押流動性策略，同時在市場下跌期間避免清算，並與Euler Protocol建立了聯繫，以實現被動收入生成。

該項目一直在借助Uniswap V4的成功，吸引了超過$393M 到其以太坊金庫和$298M 在Unichain上。

攻擊後的分析顯示，漏洞瞄準了BunniXYZ的定制流動性重新計算合約。在使用Uniswap V4技術作爲流動性鉤子時，BunniXYZ實施了自己的流動性分配功能，而不是使用Uniswap的原生計算。

攻擊者發現特定的交易規模可能會破壞此功能，導致智能合約釋放比流動性池中實際存在的更多代幣。需要多次交易才能積累到完整的$2.3M，然後轉換爲ETH。被盜資金最終進入了Aave，錢包中顯示$1.33M的AethUSDC和$1M 的AethUSDT。

盡管之前進行了審計，但這個LDF漏洞很可能出現在後來的版本中。最可能的罪魁禍首？一個精度錯誤，需要通過錯誤的重新計算來充分利用多個交易。

ETH-3.7%

USDC-0.03%

查看原文

此頁面可能包含第三方內容，僅供參考（非陳述或保證），不應被視為 Gate 認可其觀點表述，也不得被視為財務或專業建議。詳見聲明。

1人點讚了這條動態

留言

0/400

暫無留言

BunniXYZ 以太坊 交易所遭遇 230 萬美元 破壞