Децентрализованная биржа Bunni, построенная на основе Uniswap v4, приостановила все функции смарт-контрактов после масштабной эксплуатации уязвимости, в результате которой было похищено около $8,4 млн. По данным blockchain-security компании CertiK, атака была направлена на основную контрактную систему BunniHub, при этом потери на сети Ethereum составили $2,3 млн. Дополнительные убытки возникли из-за взлома layer-2 сети Unichain, принадлежащей Uniswap Labs.
Эксперты, включая сооснователя KyberNetwork Виктора Трана, установили, что злоумышленники манипулировали механизмом распределения ликвидности (LDF) Bunni, выполняя сделки специфического размера, что вызывало сбои в логике перебалансировки. Средства были переведены на два Ethereum-кошелька, содержащих $1,33 млн в USDC и $1,04 млн в USDT.
Команда Bunni в официальном заявлении подтвердила инцидент и рекомендовала пользователям немедленно вывести средства. Расследование продолжается, а общая картина атак в августе показывает рост подобных инцидентов на 15% до $163 млн.