Ethereum 交易所 BunniXYZ 因智能trac漏洞被盗走 230 万美元。

BunniXYZ Ethereum 交易所发生一系列未经授权的资金流出。链上调查人员dent这是一起黑客攻击事件，损失金额约为230万美元。. 

Ethereum 去中心化交易所 BunniXYZ 遭到攻击，攻击者利用其智能合约trac了大量资金。黑客主要转移了稳定币，造成总计 230 万美元的损失。. 

#CertiKInsight 🚨

我们已dent价值 230 万美元的漏洞 @bunni_xyz 的 BunniHub 合同trac。https://t.co/lZB0vzSMQx

攻击者已将资金转移到 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b。.

保持警惕！

— CertiK Alert (@CertiKAlert) 2025年9月2日

根据 交易记录，黑客攻击了 USDT 和 USDC 的金库，然后将这些代币转移到 Ethereum 生态系统中，最终获得了 ETH 和稳定币的混合代币。BunniXYZ 项目在几分钟内 智能 就识别出了针对其应用程序的攻击，并关闭了所有trac。 

黑客攻击发生后不久，攻击者继续 兑换 成 ETH DeFi 。 

攻击发生后的一个小时内，黑客除了通过去 DeFi 协议进行初始转移外，尚未转移或混合资金。此次针对BunniXYZ的攻击是近期一系列规模相对较小的黑客攻击事件之一，损失金额不到1000万美元。. 

即使是规模相对较小的攻击，也常常会损害协议的声誉，并摧毁新兴的 DeFitractrac tractractractrac tractracCryptopolitanCryptopolitan CryptopolitanCryptopolitanCryptopolitanCryptopolitan CryptopolitanCryptopolitan 报道。这类攻击引发了人们对内部人员作案或朝鲜黑客向Web3注入恶意代码的怀疑。 

BunniXYZ在高峰期发动攻击

BunniXYZ是一个基于 Ethereum 和Unichain的去中心化交易所（DEX）。这个新市场还采用了Uniswap V4技术，创建了具有更复杂交易规则的特殊金库和市场。 

与其他市场一样，BunniXYZ 在锁定价值达到局部峰值后不久便遭到攻击。截至 8 月底，该交易所的金库中锁仓价值高达 6000 万美元。该市场规模仍然相对较小，于 2 月份上线，并在众多新兴 DeFi 协议中占据了一席之地。. 

8 月份也是该去中心化交易所 (DEX) 最成功的月份之一，交易量超过 10 亿美元。该交易所专注于为 再抵押，同时避免在市场低迷时期发生清算。此外，DEX 的流动性还与欧拉协议 (Euler Protocol) 挂钩，用于被动收入。

BunniXYZ 受益于 Uniswap V4 交易量的扩大，该协议 3.93 亿美元 上的金库中 Ethereum ，在 Unichain 上吸引了 2.98 亿美元。

黑客利用 BunniXYZ 流动性计算漏洞

黑客攻击后的分析显示，BunniXYZ 的漏洞在于其特定的流动性重计算trac。该去中心化交易所 (DEX) 采用 Uniswap V4 技术，是一个流动性挂钩。然而，BunniXYZ 并没有使用 Uniswap 的流动性计算方法，而是重新计算了流动性分布函数 (LDF)。. 

攻击者 发现， 流动性分配函数 (LDF) 可能因特定规模的交易而失效。这意味着智能合约trac从流动性池中支付比实际拥有的代币更多的代币，最终导致交易所资金耗尽。攻击者不得不重复多次交易，最终积累了 230 万美元，然后将其兑换成 ETH。之后，他将这些 ETH 存入 Aave，最终持有价值 133 万美元的 AethUSDC 和 100 万美元的 AethUSDT（根据 钱包 最终余额计算）。 

BunniXYZ 此前已接受过审计，但 LDF 漏洞可能是在交易所的后续版本中出现的。最可能的原因是精度计算错误，导致黑客需要进行多次交易才能基于错误的重新计算结果积累更大的余额。.