Bunni DEX在流動性再平衡攻擊後損失240萬美元

• Bunni DEX 遭到利用，攻擊者通過 Uniswap v4 hooks 瞄準流動性邏輯，盜取了 240 萬美元。
• 攻擊者利用精確規模的交易破壞計算，進而盜取穩定幣。
• 加密貨幣駭客攻擊在八月上升至 1.63 億美元，顯示數位市場威脅正在轉變。

去中心化交易所 Bunni 因攻擊者利用其基於 Ethereum 的智能合約漏洞，損失約 240 萬美元。多家 Web3 安全公司的鏈上數據確認，損失的資產為穩定幣 USDC 和 USDT。此次攻擊操縱了 Bunni 的流動性分配邏輯，將資金轉移到一個地址，該地址持有 133 萬美元的 USDC 和 104 萬美元的 USDT。攻擊者利用了流動性分配函數（LDF）的弱點，這一功能原本旨在優化不同價格區間的流動性。

Bunni 核心貢獻者 @Psaul26ix 呼籲用戶撤回資金。「如果你在 Bunni 上有資金，請盡快移除，」他們發文表示。這一警告是在擔心攻擊者若流動性仍留在易受攻擊的池中，可能會繼續盜取資產後發出的。

隨後，Bunni 在 X 上發表聲明確認遭到攻擊。「Bunni 應用已受到安全漏洞影響，」團隊宣布。他們補充，作為預防措施，所有網路上的智能合約功能已暫停。

Hooks 與不斷擴大的攻擊面

Bunni 運作於 Uniswap v4 的 hooks 系統之上。Uniswap Labs 執行長 Hayden Adams 將 hooks 描述為「可自訂池、交換、手續費和 LP 持倉互動方式的插件」。這一功能允許協議在 Uniswap 框架上添加獨特功能。

儘管 Uniswap v4 包含如閃電會計、單例架構和原生 ETH 支援等先進功能，hooks 也創造了新的攻擊點。Bunni 遭利用事件顯示，雖然自訂化功能強大，但若機制缺乏充分測試，風險也會隨之增加。

KyberNetwork 聯合創辦人 Victor Tran 詳細說明了此次攻擊的運作方式。「攻擊者發現，他們可以通過進行特定規模的交易來操縱這個 LDF，」他在 X 上寫道。Tran 解釋，這些交易破壞了再平衡計算，導致流動性提供者份額的計算結果錯誤。

攻擊者多次重複利用這一漏洞，且未觸發即時警報，逐步盜取了數百萬美元。這顯示自訂邏輯中的漏洞可能允許隱蔽攻擊，繞過標準檢測系統。

DeFi 領域更廣泛的安全隱憂

Bunni 的流動性通過 Euler Finance 運作，Euler 是一個借貸協議，同時構建金融產品。攻擊發生後，Euler 創辦人 Michael Bentley 解釋，Bunni 有時會將流動性進出於 Euler，但 Euler 本身未受影響。他的說明旨在回應外界對更大範圍連鎖反應的擔憂。

新一代 DeFi 產品最大的賣點之一是增加了如自動再平衡、靈活手續費結構和即時資本可用性等先進功能。但這些創新往往帶來新的漏洞，因為它們很少經過真實世界攻擊場景的壓力測試。

相關閱讀：八月加密貨幣駭客攻擊達 1.63 億美元，攻擊事件激增 15%

為應對這類風險，安全專家強調預防措施的重要性。建議的做法包括正式審計、對抗性模擬、延時部署以及資金充足的漏洞懸賞計畫。專家指出，這些措施對於 hooks 及其他會改變資產會計的功能至關重要。

Bunni 事件也反映出更大的趨勢。根據 PeckShield 數據，駭客在八月共發動 16 起事件，盜取超過 1.63 億美元，較七月的 1.42 億美元增加 15%。儘管竊盜案年比下降 47%，但攻擊者似乎正在改變策略。