BunniXYZ 以太坊交易所遭遇 230 万美元破坏

2025-10-21 00:26:17

源加密都市

2025年9月2日 08:12

我在实时观看BunniXYZ昨天被掏空的过程。又一天，又一个DeFi漏洞 - 这次是从以太坊交易所未经授权的流出总计约230万美元。

此次黑客攻击瞄准了BunniXYZ的一个智能合约，攻击者主要针对稳定币储备。CertiK迅速发出警报：

🚨 > #CertiKInsight

我们已经认识到@bunni_xyz BunniHub同名上的$2.3M监摒.

恶意者已将资金转移到0xe04efd87f410e260cf940a3bcb8bc61f33464f2b.

保持警惕!

— CertiK 警报 (@CertiKAlert) 2025 年 9 月 2 日

查看交易链，黑客先是攻击了USDT和USDC的金库，然后通过以太坊生态系统洗牌代币，最终积累了一些ETH和稳定币。BunniXYZ迅速识别出攻击并关闭了所有智能合约，但在此之前已经造成了重大损失。

攻击者随后继续通过各种DeFi协议将资金交换成ETH。有趣的是，他们并没有立即对这些资金进行混合或模糊处理。此次黑客攻击加入了一个日益增长的趋势，即 “较小” 的攻击，在$10M 下仍然对协议造成严重破坏，并摧毁用户信心。

这些漏洞，比如最近的BetterBank攻击，引发了关于潜在内部人员参与或朝鲜黑客向Web3项目注入恶意代码的问题。

BunniXYZ 在以太坊和 Unichain 上运营，利用 Uniswap V4 技术为具有复杂交易规则的专用保险库提供服务。攻击的时机似乎经过精心计算——正好在交易所达到 $60M 的锁定价值局部高峰时袭来。

尽管相对较新(于二月)推出，BunniXYZ在新兴DeFi协议中找到了自己的定位。八月特别成功，交易量超过$1B 。该交易所专注于再质押流动性策略，同时在市场下跌期间避免清算，并与Euler Protocol建立了联系，以实现被动收入生成。

该项目一直在借助Uniswap V4的成功，吸引了超过$393M 到其以太坊金库和$298M 在Unichain上。

攻击后的分析显示，漏洞瞄准了BunniXYZ的定制流动性重新计算合约。在使用Uniswap V4技术作为流动性钩子时，BunniXYZ实施了自己的流动性分配功能，而不是使用Uniswap的原生计算。

攻击者发现特定的交易规模可能会破坏此功能，导致智能合约释放比流动性池中实际存在的更多代币。需要多次交易才能积累到完整的$2.3M，然后转换为ETH。被盗资金最终进入了Aave，钱包中显示$1.33M的AethUSDC和$1M 的AethUSDT。

尽管之前进行了审计，但这个LDF漏洞很可能出现在后来的版本中。最可能的罪魁祸首？一个精度错误，需要通过错误的重新计算来充分利用多个交易。

ETH-2.65%

USDC-0.02%

查看原文

此页面可能包含第三方内容，仅供参考（非陈述/保证），不应被视为 Gate 认可其观点表述，也不得被视为财务或专业建议。详见声明。

1人点赞了这条动态

0/400

暂无评论

BunniXYZ 以太坊 交易所遭遇 230 万美元 破坏