Bunni DEX bestätigt Schließung nach Verlust von 8,4 Mio. $ bei September-Exploit

In einem neuen Schlag für die dezentralisierte Finanzen-Branche hat Bunni seine Schließung nach einem schwerwiegenden Exploit angekündigt, der seinen Betrieb zum Erliegen brachte.

Bunni, die dezentralisierte Börse, die für ihre Liquiditätsinnovationen bekannt war, hat offiziell den Betrieb eingestellt, nachdem ein großer Exploit mehr als 8,4 Millionen Dollar an Nutzergeldern abgezogen hat.

Die Entscheidung wurde am 23.10. über das offizielle X-Konto des Projekts bekannt gegeben, wo das Team mitteilte, dass der Hack das Wachstum gestoppt und das Projekt außerstande gesetzt hat, einen sicheren Neustart zu finanzieren. Die Schließung markiert das Ende einer der technisch ambitioniertesten Börsen im DeFi-Bereich, die auf Uniswap (UNI) V4-Hooks aufgebaut war.

Hack lässt Projekt ohne Erholungschance zurück

Der Angriff, der auf die primären Ethereum (ETH)- und Unichain-Smart-Contracts von Bunni abzielte, fand Anfang September statt. Die Angreifer nutzten eine Schwachstelle in der Liquidity Distribution Function des Projekts aus, eine Funktion, die zur Optimierung der Renditen für Liquiditätsanbieter entwickelt wurde, und konnten so durch Flash-Loan-Manipulation und Rundungsfehler mehr Vermögenswerte abheben als ihnen zustanden.

Etwa 8,4 Millionen Dollar wurden abgezogen, hauptsächlich in USDC und USDT, bevor das Team die Vertragsoperationen einfrieren konnte. Eine Belohnung von 10% wurde angeboten, um die Gelder zurückzubekommen, aber der Angreifer hat nie reagiert. Trotz früherer Audits durch Trail of Bits und Cyfrin wurde der Fehler als "logischer Fehler" und nicht als Implementierungsfehler eingestuft.

Seit dem Hack ist der Total Value Locked von Bunni von über 60 Millionen Dollar auf nahezu Null gefallen, wobei Handels- und Entwicklungsaktivitäten zum Stillstand gekommen sind.

Open-Source-Abschied und Nutzerentschädigungsplan

In seiner Abschaltungserklärung gab das Bunni-Team an, dass "sechs- bis siebenstellige" Beträge für Audit- und Überwachungskosten sowie Monate der Neuentwicklung erforderlich gewesen wären, um den Betrieb sicher wieder aufzunehmen – eine Ausgabe, die es nicht stemmen konnte.

Nutzer werden weiterhin in der Lage sein, Gelder über die Bunni-Website abzuheben, bis auf weiteres. Verbleibende Treasury-Vermögenswerte werden an BUNNI-, LIT- und veBUNNI-Inhaber auf Basis eines Snapshots verteilt, sobald der rechtliche Prozess abgeschlossen ist. Teammitglieder werden von der Verteilung ausgeschlossen.

Als letzten Schritt hat Bunni seine v2-Smart-Contracts von BUSL auf MIT umlizenziert, wodurch seine Technologien, einschließlich LDFs, Surge-Gebühren und autonomes Rebalancing, anderen Entwicklern frei zur Verfügung stehen. Das Team gab an, weiterhin mit den Strafverfolgungsbehörden zusammenzuarbeiten, um gestohlene Gelder zurückzubekommen.

Die Schließung trägt zu einem schwierigen Jahr für die Blockchain-Sicherheit bei, mit über 3,1 Milliarden Dollar Verlusten durch Hacks und Exploits bisher im Jahr 2025.