BunniXYZ Ethereum 交易所遭遇 230 萬美元的泄露

BunniXYZ Ethereum 交易所出現一系列未經授權的資金流出。鏈上調查人員dent該事件爲黑客攻擊，損失約 230 萬美元。 

Ethereum 去中心化交易所 BunniXYZ 的一款智能trac遭黑客攻擊。黑客竊取了大部分穩定幣，總損失達 230 萬美元。 

#CertiKInsight 🚨

我們@bunni_xyz BunniHub 合同tracdent了一個價值 230 萬美元的漏洞。https ://t.co/lZB0vzSMQx

攻擊者已將資金竊取至 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b。

保持警惕！

— CertiK Alert (@CertiKAlert) 2025年9月2日

根據交易記錄，黑客攻擊了 USDT 和 USDC 的金庫，然後將這些代幣轉移到Ethereum生態系統中，最終獲得了 ETH 和穩定幣。在最初的幾分鐘內， BunniXYZ項目就識別出了針對其應用程序的攻擊，並關閉了所有智能trac。

黑客攻擊發生後不久，攻擊者繼續DeFi協議兌換成 ETH

攻擊發生後一小時內，除了通過 DeFi 協議進行的初始轉移外，黑客尚未轉移或混合資金。針對 BunniXYZ 的攻擊是最新一系列規模較小的黑客攻擊的一部分，竊取金額不到 1000 萬美元。 

即使是相對較小的攻擊也常常會損害協議的聲譽，並摧毀新的DeFi報道，最近的一次智能合約trac攻擊是針對 BetterBank 的。此類攻擊引發了人們對內部人員操作或朝鮮黑客向 Web3 注入惡意代碼的懷疑。

BunniXYZ 在山頂發起攻擊

BunniXYZ 是一個同時使用Ethereum和 Unichain 的去中心化交易所 (DEX)。新市場還利用 Uniswap V4 技術創建了特殊的金庫和市場，交易規則也更加複雜。

與其他市場一樣，BunniXYZ 在鎖定價值達到局部峯值後不久就遭到了攻擊。截至 8 月底，該交易所的金庫中持有的資金高達 6000 萬美元。儘管該市場於 2 月份上線並在新興 DeFi 協議中佔據一席之地，但規模仍然相對較小。 

8月也是該DEX最成功的月份之一，交易量超過10億美元。該交易所專注於爲再抵押，同時避免在市場低迷時期被清算。DEX的流動性還與歐拉協議掛鉤，以獲得被動收入。

BunniXYZ 受益於 Uniswap V4 交易量的擴大，該協議Ethereum上的金庫3.93 億美元，在 Unichain 上的金庫吸引了 2.98 億美元。

黑客利用了 BunniXYZ 流動性計算

黑客攻擊後分析顯示，BunniXYZ 因其特定的流動性重新trac合約而易受攻擊。該去中心化交易所 (DEX) 是一個流動性掛鉤，使用 Uniswap V4 技術。然而，BunniXYZ 並未使用 Uniswap 的流動性計算，而是重新計算了流動性分配函數。 

漏洞利用者發現，特定規模的交易可能會破壞流動性分配函數。這意味着智能合約trac流動性池中支付的代幣數量超過其實際持有的數量，最終導致交易所資金耗盡。攻擊者不得不重複多次交易，最終積累了 230 萬美元，然後將其兌換成 ETH。最終，他將 ETH 存入Aave ，根據錢包的最終餘額，持有 133 萬美元的 AethUSDC 和 100 萬美元的 AethUSDT。

BunniXYZ 之前曾接受過審計，但 LDF 漏洞可能是在交易所的更高版本中發現的。最可能的原因是精度錯誤，黑客需要執行多筆交易才能根據有缺陷的重新計算累積更大的餘額。

立即加入 Bybit ，即可獲得高達 30,050 美元的交易獎勵