Децентрализованная биржа Bunni, построенная на базе Uniswap v4, стала жертвой масштабного взлома, в результате которого утеряно около $2,4 млн в криптоактивах. Инцидент был впервые зафиксирован аналитиками PeckShield, а позднее подтверждён самой командой проекта, которая немедленно приостановила все операции для проведения расследования.
На странице проекта в X (бывший Twitter) появилось официальное заявление, в котором разработчики призвали пользователей немедленно выводить свои средства из пулов ликвидности. Один из ключевых разработчиков, известный под псевдонимом Psaul26ix, подтвердил уязвимость и призвал сообщество сохранять бдительность, пока не будут выявлены все детали атаки.
Точная причина взлома пока уточняется, однако первые данные указывают на критическую уязвимость в собственном механизме ребалансировки ликвидности — LDF (Liquidity Distribution Function). В отличие от стандартных DEX, Bunni использует адаптивные пулы и динамическое распределение активов для максимизации доходности поставщиков ликвидности. Именно эта инновация, по всей видимости, и стала точкой проникновения.
Как пояснил Виктор Тран, соучредитель KyberNetwork, злоумышленник сумел манипулировать LDF, совершая транзакции определённого объёма. Каждая сделка запускала процесс проверки кривой распределения и перераспределения ликвидности. Хакер, тонко настроив параметры своих операций, вызвал ошибку в расчётах протокола, что позволило ему получать больше активов, чем он вносил — эффект, напоминающий арбитраж на стероидах.
В результате атаки злоумышленник перевёл на свой кошелёк криптоактивы на сумму $2,27 млн, которые на момент публикации остаются на отслеживаемом адресе. Следы транзакций уже переданы в руки аналитиков и правоохранительных структур, работающих с блокчейн-расследованиями.
Bunni, хотя и базируется на надёжной основе Uniswap v4, демонстрирует, что каждое новое улучшение в DeFi несёт в себе новые риски. Инновации вроде адаптивных пулов повышают эффективность, но одновременно увеличивают сложность кода — а значит, и вероятность неожиданных векторов атаки.
