去中心化交易所BunniXYZ因流動性漏洞損失840萬美元

去中心化交易所（DEX）BunniXYZ據報因一項基於流動性的安全漏洞損失了840萬美元。

根據鏈上安全公司Hacken的說法，該DEX有600萬美元的資金通過Unichain區塊鏈被盜，另外240萬美元則通過Ethereum被盜。所有Unichain的資金隨後都通過Across Protocol橋接到了Ethereum。

BunniXYZ在推文中確認了此次攻擊，表示已暫停其網絡上的所有智能合約活動，並正在“積極調查”此次攻擊的具體情況。該公司補充稱，將很快提供最新進展。

BunniXYZ成立於2025年2月，基於自動化做市商Uniswap v4，主要使用Ethereum和Unichain區塊鏈。根據DeFiLlama數據，目前其跨鏈總鎖倉價值（TVL）略高於5000萬美元，雖然在今年8月初一度超過8000萬美元。

借貸協議Euler聯合創辦人Michael Bentley在推文中建議用戶將資金撤出Bunni，並補充說，雖然該DEX會在Euler內外重新平衡資金，但借貸協議“未受影響，也不存在風險”。Euler自身在2023年曾遭遇重大漏洞，駭客盜走近2億美元資金，其中大部分後來被追回。

發生了什麼事？

根據鏈上分析師、Kyber Network聯合創辦人Victor Tran的說法，駭客操縱了Bunni的“流動性曲線”，也稱為其LDF（Liquidity Density Function，流動性密度函數）。這是一套計算交易所內部額外流動性並重新平衡流動性池以保持正確代幣比例的系統。

Tran表示，駭客通過“進行非常特定規模的交易”來操縱這個LDF。這導致重新平衡計算出錯，產生了每個流動性池份額應擁有的錯誤結果。

通過重複這一過程，駭客據稱從Bunni提取了超出其應有數量的代幣。

Bunni本身尚未確認此次攻擊的具體機制。