Serangan baru telah menghantam dana LP di Ethereum: protokol Bunni, yang mengkhususkan diri dalam manajemen likuiditas, telah sementara menghentikan kontrak setelah penarikan anomali yang diperkirakan antara sekitar 2,3 dan 2,4 juta dolar – seperti dilaporkan oleh The Block dan sesuai dengan risiko yang dianalisis dalam Laporan Keamanan OpenZeppelin. Analisis awal menunjukkan bahwa eksploitasi mungkin telah memanfaatkan kerentanan dalam fungsi distribusi likuiditas, yang secara tidak tepat mengubah saham LP.
Menurut data yang dikumpulkan oleh tim analisis on-chain kami, diperbarui per 2 September 2025, transaksi yang mencurigakan menunjukkan pola berulang dan transfer pecahan ke beberapa alamat, konsisten dengan serangan yang ditujukan untuk mengeksploitasi redistribusi. Pemeriksaan silang kami pada penjelajah publik menunjukkan penarikan terkalibrasi dalam USDC dan USDT masing-masing sekitar 1,33 juta dolar dan 1,04 juta dolar. Analis industri mencatat bahwa kerentanan terkait logika redistribusi dan orakel adalah penyebab yang berulang dalam insiden DeFi terbaru.
Singkatnya: apa yang kita ketahui sejauh ini tentang peretasan Bunni DEX
Siapa: Bunni, protokol manajemen likuiditas di Ethereum.
Apa: Pengurasan dana dari kontrak pintar dan penangguhan operasional sebagai langkah pencegahan keamanan.
Dove: jaringan Ethereum, dengan pergerakan yang dapat dilacak di dalam rantai.
Kapan: Peristiwa terdeteksi dalam beberapa hari menjelang 2 September 2025; penyelidikan masih berlangsung.
Bagaimana: Melalui manipulasi mekanisme penyeimbangan likuiditas, yang menyebabkan kesalahan perhitungan dalam saham LP.
Garis Waktu Peristiwa
Urutan Esensial
Deteksi pergerakan tidak biasa di pool dengan stablecoin, terutama USDC dan USDT.
Komunikasi resmi dari tim, konfirmasi insiden, dan penangguhan kontrak untuk membatasi kerusakan.
Analisis on-chain awal: perkiraan kerugian antara sekitar 2,3 dan 2,4 juta dolar, dengan penarikan yang berulang dan jumlah yang dimodulasi.
Inisiasi pemeriksaan teknis pada fungsi distribusi likuiditas dan mekanisme penyeimbangan.
Detail On-chain
Aset yang terpengaruh: stablecoin USDC ( sekitar 1,33 juta dolar) dan USDT ( sekitar 1,04 juta dolar), yang bersama-sama mendekati estimasi total kerugian.
Pola: serangkaian perdagangan terarah dengan jumlah yang dikalibrasi untuk memaksa rebalancing yang tidak menguntungkan bagi LP.
Alamat dan hash: diperiksa oleh berbagai perusahaan analisis blockchain, meskipun referensi langsung ke penjelajah belum dirilis secara publik.
Berbagai media, termasuk The Block dan BitcoinEthereumNews, telah melaporkan elemen-elemen ini, menyoroti pola berulang dari transfer mencurigakan dalam beberapa jam menjelang penangguhan kontrak.
Mekanika Kerentanan
Bagaimana Distribusi Likuiditas Bekerja
Bunni menggunakan fungsi distribusi likuiditas yang memungkinkan modal dialokasikan dalam rentang harga tertentu, mengoptimalkan pengembalian LP melalui penyeimbangan yang dipicu oleh transaksi. Tujuannya adalah untuk membatasi inersia dana; namun, pendekatan ini dapat membuka permukaan serangan baru jika logika penyeimbangan tidak cukup kuat.
Di Mana Sistem Terjebak
Manipulasi kurva melalui operasi perdagangan yang terarah dan berulang.
Perhitungan posisi LP yang, setelah penyesuaian, menghasilkan saham yang tidak benar.
Pengurasan dana secara bertahap, diatur untuk menghindari aktivasi pemicu defensif otomatis.
Pada dasarnya, logika penyeimbangan yang tidak tahan banting memungkinkan penyerang untuk mengekstrak nilai dari LP tanpa segera memicu mekanisme peringatan. Aspek menarik adalah modularitas jumlah, yang menunjukkan strategi yang disesuaikan dengan baik.
Dampak dan Angka
Estimasi kerugian: sekitar 2,3–2,4 juta dolar.
Token yang terlibat: USDC dan USDT.
Status operasional: kontrak telah dijeda dan fungsi pintar saat ini ditangguhkan.
Titik kritis: penghitungan saham LP dan manajemen likuiditas selama proses penyeimbangan.
Reaksi Resmi dan Konteks
Tim Bunni telah mengumumkan penghentian kontrak sebagai langkah keamanan segera, menjelaskan bahwa analisis pasca-insiden sedang berlangsung untuk mengidentifikasi dan memperbaiki kerentanan. Saat ini, tidak ada kutipan langsung atau pernyataan resmi dengan stempel waktu yang dapat diverifikasi yang telah disediakan; penyelidikan sedang berlangsung dan prioritas tetap pada pengamanan kontrak dan likuiditas yang tersisa.
Langkah Mitigasi
Audit yang sedang berlangsung pada fungsi penyeimbangan dan mekanisme akuntansi LP, termasuk pengujian dalam skenario yang merugikan.
Batasan ukuran transaksi yang dapat memicu penyeimbangan sensitif.
Implementasi pemutus sirkuit dan pemantauan waktu nyata terhadap selip dan variasi abnormal dalam kutipan LP.
Penggunaan timelock untuk perubahan kritis dan adopsi operasi multisig untuk fungsi admin.
Pembuatan dana darurat atau cakupan asuransi untuk mengurangi dampak pada pengguna.
Langkah-langkah pencegahan ini sangat penting dalam manajemen risiko DeFi.
Panduan Operasional untuk Protokol Likuiditas
Pelaksanaan uji stres dan simulasi serangan ekonomi sebelum rilis resmi.
Implementasi pembatasan laju pada fungsi yang mempengaruhi kurva distribusi.
Pemantauan aktif metrik alarm seperti slippage, perubahan dalam saham LP, dan aliran yang tidak terduga ke dompet.
Pembaruan berkala prosedur respons insiden dan latihan untuk memvalidasi efektivitasnya.
Penggunaan oracle yang dapat diandalkan dan pengenalan pagar matematis untuk mencegah kesalahan dalam perhitungan.
Langkah Selanjutnya untuk Pengguna dan Pengembang
Pengguna: Pantau pembaruan protokol resmi dan periksa log on-chain untuk setiap perubahan di kolam yang terpengaruh.
Pengembang: Selesaikan post-mortem teknis, rilis patch sementara, dan rencanakan audit independen yang fokus pada fungsi manajemen likuiditas dan perhitungan LP.
Apa yang Harus Dimonitor
Hash Tx dan alamat yang dikonfirmasi di penjelajah seperti Etherscan atau Blockscout untuk jejak lengkap.
Pembaruan tentang rilis patch dan perkiraan waktu untuk reaktivasi kontrak.
Laporan forensik dari perusahaan analisis blockchain dan hasil audit publik.
Program atau perjanjian hadiah untuk pengembalian dana yang disalahgunakan.
Kesimpulan
Serangan terhadap Bunni menunjukkan bagaimana inovasi dalam distribusi likuiditas dapat memperkenalkan permukaan serangan baru ketika mekanisme penyeimbangan tidak cukup kuat.
Kombinasi manipulasi kurva dan kesalahan dalam perhitungan LP memungkinkan untuk menguras sekitar 2,3–2,4 juta dolar dalam stablecoin
Harus dikatakan bahwa prioritas saat ini adalah menyelesaikan analisis pasca-insiden yang transparan, memperbaiki logika manajemen likuiditas, dan memperkenalkan kontrol defensif yang lebih ketat.
Angka dan alamat (ringkasan)
Jumlah yang diperkirakan: sekitar 2,3–2,4 juta dolar.
Token: USDC ( sekitar 1,33M) dan USDT ( sekitar 1,04M).
Status: kontrak ditangguhkan, penyelidikan sedang berlangsung.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Bunni DEX diserang: sekitar $2,4 juta dalam stablecoin dicuri di Ethereum, kontrak p...
Serangan baru telah menghantam dana LP di Ethereum: protokol Bunni, yang mengkhususkan diri dalam manajemen likuiditas, telah sementara menghentikan kontrak setelah penarikan anomali yang diperkirakan antara sekitar 2,3 dan 2,4 juta dolar – seperti dilaporkan oleh The Block dan sesuai dengan risiko yang dianalisis dalam Laporan Keamanan OpenZeppelin. Analisis awal menunjukkan bahwa eksploitasi mungkin telah memanfaatkan kerentanan dalam fungsi distribusi likuiditas, yang secara tidak tepat mengubah saham LP.
Menurut data yang dikumpulkan oleh tim analisis on-chain kami, diperbarui per 2 September 2025, transaksi yang mencurigakan menunjukkan pola berulang dan transfer pecahan ke beberapa alamat, konsisten dengan serangan yang ditujukan untuk mengeksploitasi redistribusi. Pemeriksaan silang kami pada penjelajah publik menunjukkan penarikan terkalibrasi dalam USDC dan USDT masing-masing sekitar 1,33 juta dolar dan 1,04 juta dolar. Analis industri mencatat bahwa kerentanan terkait logika redistribusi dan orakel adalah penyebab yang berulang dalam insiden DeFi terbaru.
Singkatnya: apa yang kita ketahui sejauh ini tentang peretasan Bunni DEX
Siapa: Bunni, protokol manajemen likuiditas di Ethereum.
Apa: Pengurasan dana dari kontrak pintar dan penangguhan operasional sebagai langkah pencegahan keamanan.
Dove: jaringan Ethereum, dengan pergerakan yang dapat dilacak di dalam rantai.
Kapan: Peristiwa terdeteksi dalam beberapa hari menjelang 2 September 2025; penyelidikan masih berlangsung.
Bagaimana: Melalui manipulasi mekanisme penyeimbangan likuiditas, yang menyebabkan kesalahan perhitungan dalam saham LP.
Garis Waktu Peristiwa
Urutan Esensial
Deteksi pergerakan tidak biasa di pool dengan stablecoin, terutama USDC dan USDT.
Komunikasi resmi dari tim, konfirmasi insiden, dan penangguhan kontrak untuk membatasi kerusakan.
Analisis on-chain awal: perkiraan kerugian antara sekitar 2,3 dan 2,4 juta dolar, dengan penarikan yang berulang dan jumlah yang dimodulasi.
Inisiasi pemeriksaan teknis pada fungsi distribusi likuiditas dan mekanisme penyeimbangan.
Detail On-chain
Aset yang terpengaruh: stablecoin USDC ( sekitar 1,33 juta dolar) dan USDT ( sekitar 1,04 juta dolar), yang bersama-sama mendekati estimasi total kerugian.
Pola: serangkaian perdagangan terarah dengan jumlah yang dikalibrasi untuk memaksa rebalancing yang tidak menguntungkan bagi LP.
Alamat dan hash: diperiksa oleh berbagai perusahaan analisis blockchain, meskipun referensi langsung ke penjelajah belum dirilis secara publik.
Berbagai media, termasuk The Block dan BitcoinEthereumNews, telah melaporkan elemen-elemen ini, menyoroti pola berulang dari transfer mencurigakan dalam beberapa jam menjelang penangguhan kontrak.
Mekanika Kerentanan
Bagaimana Distribusi Likuiditas Bekerja
Bunni menggunakan fungsi distribusi likuiditas yang memungkinkan modal dialokasikan dalam rentang harga tertentu, mengoptimalkan pengembalian LP melalui penyeimbangan yang dipicu oleh transaksi. Tujuannya adalah untuk membatasi inersia dana; namun, pendekatan ini dapat membuka permukaan serangan baru jika logika penyeimbangan tidak cukup kuat.
Di Mana Sistem Terjebak
Manipulasi kurva melalui operasi perdagangan yang terarah dan berulang.
Perhitungan posisi LP yang, setelah penyesuaian, menghasilkan saham yang tidak benar.
Pengurasan dana secara bertahap, diatur untuk menghindari aktivasi pemicu defensif otomatis.
Pada dasarnya, logika penyeimbangan yang tidak tahan banting memungkinkan penyerang untuk mengekstrak nilai dari LP tanpa segera memicu mekanisme peringatan. Aspek menarik adalah modularitas jumlah, yang menunjukkan strategi yang disesuaikan dengan baik.
Dampak dan Angka
Estimasi kerugian: sekitar 2,3–2,4 juta dolar.
Token yang terlibat: USDC dan USDT.
Status operasional: kontrak telah dijeda dan fungsi pintar saat ini ditangguhkan.
Titik kritis: penghitungan saham LP dan manajemen likuiditas selama proses penyeimbangan.
Reaksi Resmi dan Konteks
Tim Bunni telah mengumumkan penghentian kontrak sebagai langkah keamanan segera, menjelaskan bahwa analisis pasca-insiden sedang berlangsung untuk mengidentifikasi dan memperbaiki kerentanan. Saat ini, tidak ada kutipan langsung atau pernyataan resmi dengan stempel waktu yang dapat diverifikasi yang telah disediakan; penyelidikan sedang berlangsung dan prioritas tetap pada pengamanan kontrak dan likuiditas yang tersisa.
Langkah Mitigasi
Audit yang sedang berlangsung pada fungsi penyeimbangan dan mekanisme akuntansi LP, termasuk pengujian dalam skenario yang merugikan.
Batasan ukuran transaksi yang dapat memicu penyeimbangan sensitif.
Implementasi pemutus sirkuit dan pemantauan waktu nyata terhadap selip dan variasi abnormal dalam kutipan LP.
Penggunaan timelock untuk perubahan kritis dan adopsi operasi multisig untuk fungsi admin.
Pembuatan dana darurat atau cakupan asuransi untuk mengurangi dampak pada pengguna.
Langkah-langkah pencegahan ini sangat penting dalam manajemen risiko DeFi.
Panduan Operasional untuk Protokol Likuiditas
Pelaksanaan uji stres dan simulasi serangan ekonomi sebelum rilis resmi.
Implementasi pembatasan laju pada fungsi yang mempengaruhi kurva distribusi.
Pemantauan aktif metrik alarm seperti slippage, perubahan dalam saham LP, dan aliran yang tidak terduga ke dompet.
Pembaruan berkala prosedur respons insiden dan latihan untuk memvalidasi efektivitasnya.
Penggunaan oracle yang dapat diandalkan dan pengenalan pagar matematis untuk mencegah kesalahan dalam perhitungan.
Langkah Selanjutnya untuk Pengguna dan Pengembang
Pengguna: Pantau pembaruan protokol resmi dan periksa log on-chain untuk setiap perubahan di kolam yang terpengaruh.
Pengembang: Selesaikan post-mortem teknis, rilis patch sementara, dan rencanakan audit independen yang fokus pada fungsi manajemen likuiditas dan perhitungan LP.
Apa yang Harus Dimonitor
Hash Tx dan alamat yang dikonfirmasi di penjelajah seperti Etherscan atau Blockscout untuk jejak lengkap.
Pembaruan tentang rilis patch dan perkiraan waktu untuk reaktivasi kontrak.
Laporan forensik dari perusahaan analisis blockchain dan hasil audit publik.
Program atau perjanjian hadiah untuk pengembalian dana yang disalahgunakan.
Kesimpulan
Serangan terhadap Bunni menunjukkan bagaimana inovasi dalam distribusi likuiditas dapat memperkenalkan permukaan serangan baru ketika mekanisme penyeimbangan tidak cukup kuat.
Kombinasi manipulasi kurva dan kesalahan dalam perhitungan LP memungkinkan untuk menguras sekitar 2,3–2,4 juta dolar dalam stablecoin
Harus dikatakan bahwa prioritas saat ini adalah menyelesaikan analisis pasca-insiden yang transparan, memperbaiki logika manajemen likuiditas, dan memperkenalkan kontrol defensif yang lebih ketat.
Angka dan alamat (ringkasan)
Jumlah yang diperkirakan: sekitar 2,3–2,4 juta dolar.
Token: USDC ( sekitar 1,33M) dan USDT ( sekitar 1,04M).
Status: kontrak ditangguhkan, penyelidikan sedang berlangsung.