Децентрализованная биржа Bunni остановила работу всех смарт-контрактов после того, как злоумышленники воспользовались уязвимостью в ее механизме распределения ликвидности и вывели около $2,4 млн в стейблкоинах. Как прошла атака По данным ончейн-аналитиков, средства были украдены с контрактов Bunni в сети Ethereum и переведены на кошельки, содержащие более $1,3 млн в USDC и $1 млн в USDT. […]
Децентрализованная биржа Bunni остановила работу всех смарт-контрактов после того, как злоумышленники воспользовались уязвимостью в ее механизме распределения ликвидности и вывели около $2,4 млн в стейблкоинах.
По данным ончейн-аналитиков, средства были украдены с контрактов Bunni в сети Ethereum и переведены на кошельки, содержащие более $1,3 млн в USDC и $1 млн в USDT. Команда подтвердила взлом в X (Twitter) и рекомендовала пользователям срочно вывести свои средства.
Основная причина атаки связана с уникальной логикой распределения ликвидности в протоколе. Bunni построен на базе Uniswap v4, но использует собственный механизм под названием Liquidity Distribution Function (LDF), призванный повышать доходность для провайдеров ликвидности. Однако именно в LDF и оказалась критическая ошибка.
По словам Виктора Трана, сооснователя KyberNetwork, хакер сумел подобрать такие размеры сделок, которые ломали расчет ребалансировки. В результате распределение долей между участниками происходило некорректно, и злоумышленник мог постепенно выводить средства, не вызывая немедленного срабатывания защитных механизмов.
В качестве меры реагирования команда Bunni предложила хакеру «мирное урегулирование» — вернуть похищенные активы в обмен на 10% вознаграждения. Сообщение с адресом для связи было отправлено прямо в блокчейне. Такой подход стал типичным в индустрии, где многие проекты стараются минимизировать убытки через прямые переговоры.
При этом партнерский протокол Euler Finance, через который Bunni направляет ликвидность, заявил, что его собственная инфраструктура не пострадала от атаки.
Случай с Bunni стал частью тревожной тенденции. Только в августе 2025 года хакеры похитили более $163 млн в криптовалютах через 16 разных инцидентов. Это на 15% больше, чем месяцем ранее.
Хотя год к году убытки снизились почти наполовину, аналитики PeckShield отмечают изменение стратегии злоумышленников: вместо мелких DeFi-платформ они все чаще атакуют централизованные биржи и состоятельных инвесторов.
Самая крупная потеря августа — социальная инженерия, в результате которой биткоинер перевел 783 BTC (около $91 млн) мошенникам, выдававшим себя за службу поддержки.
Bunni предстоит провести детальный аудит кода и восстановить доверие пользователей. Инцидент показывает, что даже кастомные инновации на базе проверенных протоколов, как Uniswap, могут обернуться серьезными рисками.
Если команде удастся договориться с хакером и вернуть часть средств, ущерб для пользователей может быть частично компенсирован. Но сам факт взлома снова поднимает вопрос: насколько безопасны новые DeFi-решения с экспериментальной логикой.
Читать далее: Coinbase и OKX выводят криптовалюту в пенсионные фонды Австралии