Ang DEX Bunni ay Nabiktima ng Smart Contract Attack, Nawalan ng $2.3 Million

• Nalugi ang Bunni DEX ng $2.3 milyon sa stablecoins
• Naganap ang pagsasamantala dahil sa isang depekto sa Liquidity Distribution Function
• Umabot na sa higit US$3.1 billion ang kabuuang pagkalugi sa 2025

Kumpirmado ng decentralized exchange na Bunni na ito ay nakaranas ng smart contract exploit na nagresulta sa pagkawala ng tinatayang $2.3 milyon sa stablecoins. Ang pag-atake, na naganap noong Setyembre 2, ay nag-udyok sa exchange na suspindihin ang lahat ng smart contract functions sa kanilang mga network bilang pag-iingat.

"Ang aming aplikasyon ay naapektuhan ng isang security flaw. Bilang pag-iingat, pansamantala naming pinahinto ang lahat ng smart contract functionality sa lahat ng network. Aktibong iniimbestigahan ng aming team at magbibigay kami ng mga update sa lalong madaling panahon," ayon sa pahayag ng Bunni sa X.

🚨 Ang Bunni app ay naapektuhan ng isang security exploit. Bilang pag-iingat, pansamantala naming pinahinto ang lahat ng smart contract functions sa lahat ng network. Aktibong iniimbestigahan ng aming team at magbibigay kami ng mga update sa lalong madaling panahon. Salamat sa inyong pasensya.

— Bunni (@bunni_xyz) September 2, 2025

Ang security firm na BlockSec ang isa sa mga unang nakadiskubre ng kakaibang aktibidad. Sinamantala ng umaatake ang isang kahinaan sa Liquidity Distribution Function (LDF), isang natatanging tampok ng Bunni na idinisenyo upang i-optimize ang alokasyon sa iba't ibang price ranges at magbigay-daan sa mas komplikadong mga estratehiya kaysa sa karaniwang Uniswap.

ALERT! Ang aming sistema ay nakadetect ng isang kahina-hinalang transaksyon na tumatarget sa kontrata ng @bunni_xyz sa #Ethereum, at ang pagkawala ay humigit-kumulang $2.3M. Mangyaring kumilos agad.

—BlockSec Phalcon (@Phalcon_xyz) September 2, 2025

Binubuo ang pag-atake ng maraming transaksyon na nagbago sa lohika ng pool rebalancing, na nagbigay-daan sa pag-withdraw ng mas maraming tokens kaysa sa aktwal na available. Matapos ulitin ang proseso nang ilang beses, pinagsama-sama ng umaatake ang mga pondo sa isang Ethereum wallet, na ngayon ay may $1.33 milyon sa USDC at $1.04 milyon sa USDT.

Naganap ang insidente sa isang mahalagang panahon para sa Bunni, na kamakailan lamang ay umabot sa total value locked na $60 milyon at lumampas sa $1 billion sa trading volume noong Agosto. Inilunsad noong Pebrero, ang platform ay gumagana sa parehong Ethereum at Unichain, gamit ang Uniswap V4 technology.

Ito ang unang malaking pag-atake sa DeFi protocols ngayong Setyembre, kasunod ng isang Agosto na puno ng malalaking pagkalugi. Noong nakaraang buwan lamang, 16 na insidente ang nagresulta sa kabuuang pagkawala na $163 milyon, kabilang ang pagnanakaw ng $91 milyon mula sa isang Bitcoin whale sa pamamagitan ng social engineering at isang $48 milyon na pag-atake sa Turkish exchange na BtcTurk.

Sa pag-atake sa Bunni, ang naipong pagkalugi sa 2025 ay lumampas na sa US$3.1 billion, na nalampasan ang US$2.2 billion na naitala sa buong 2024 at muling pinatibay ang mga panganib sa seguridad na patuloy na hinaharap ng DeFi sector.