BunniXYZ Ethereum 交易所遭遇 230 万美元的泄露

BunniXYZ Ethereum 交易所出现一系列未经授权的资金流出。链上调查人员dent该事件为黑客攻击，损失约 230 万美元。 

Ethereum 去中心化交易所 BunniXYZ 的一款智能trac遭黑客攻击。黑客窃取了大部分稳定币，总损失达 230 万美元。 

#CertiKInsight 🚨

我们@bunni_xyz BunniHub 合同tracdent了一个价值 230 万美元的漏洞。https ://t.co/lZB0vzSMQx

攻击者已将资金窃取至 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b。

保持警惕！

— CertiK Alert (@CertiKAlert) 2025年9月2日

根据交易记录，黑客攻击了 USDT 和 USDC 的金库，然后将这些代币转移到Ethereum生态系统中，最终获得了 ETH 和稳定币。在最初的几分钟内， BunniXYZ项目就识别出了针对其应用程序的攻击，并关闭了所有智能trac。

黑客攻击发生后不久，攻击者继续DeFi协议兑换成 ETH

攻击发生后一小时内，除了通过 DeFi 协议进行的初始转移外，黑客尚未转移或混合资金。针对 BunniXYZ 的攻击是最新一系列规模较小的黑客攻击的一部分，窃取金额不到 1000 万美元。 

即使是相对较小的攻击也常常会损害协议的声誉，并摧毁新的DeFi报道，最近的一次智能合约trac攻击是针对 BetterBank 的。此类攻击引发了人们对内部人员操作或朝鲜黑客向 Web3 注入恶意代码的怀疑。

BunniXYZ 在山顶发起攻击

BunniXYZ 是一个同时使用Ethereum和 Unichain 的去中心化交易所 (DEX)。新市场还利用 Uniswap V4 技术创建了特殊的金库和市场，交易规则也更加复杂。

与其他市场一样，BunniXYZ 在锁定价值达到局部峰值后不久就遭到了攻击。截至 8 月底，该交易所的金库中持有的资金高达 6000 万美元。尽管该市场于 2 月份上线并在新兴 DeFi 协议中占据一席之地，但规模仍然相对较小。 

8月也是该DEX最成功的月份之一，交易量超过10亿美元。该交易所专注于为再抵押，同时避免在市场低迷时期被清算。DEX的流动性还与欧拉协议挂钩，以获得被动收入。

BunniXYZ 受益于 Uniswap V4 交易量的扩大，该协议Ethereum上的金库3.93 亿美元，在 Unichain 上的金库吸引了 2.98 亿美元。

黑客利用了 BunniXYZ 流动性计算

黑客攻击后分析显示，BunniXYZ 因其特定的流动性重新trac合约而易受攻击。该去中心化交易所 (DEX) 是一个流动性挂钩，使用 Uniswap V4 技术。然而，BunniXYZ 并未使用 Uniswap 的流动性计算，而是重新计算了流动性分配函数。 

漏洞利用者发现，特定规模的交易可能会破坏流动性分配函数。这意味着智能合约trac流动性池中支付的代币数量超过其实际持有的数量，最终导致交易所资金耗尽。攻击者不得不重复多次交易，最终积累了 230 万美元，然后将其兑换成 ETH。最终，他将 ETH 存入Aave ，根据钱包的最终余额，持有 133 万美元的 AethUSDC 和 100 万美元的 AethUSDT。

BunniXYZ 之前曾接受过审计，但 LDF 漏洞可能是在交易所的更高版本中发现的。最可能的原因是精度错误，黑客需要执行多笔交易才能根据有缺陷的重新计算累积更大的余额。

立即加入 Bybit ，即可获得高达 30,050 美元的交易奖励