Bunni DEX, 8.4 milyon dolarlık bir hack sonrası kalıcı olarak kapanıyor, çünkü ekip yetersiz kurtarma fonlarından bahsediyor.

Belirli bir DEX teknolojisi ile inşa edilmiş merkeziyetsiz bir borsa, 8.4 milyon dolarlık bir güvenlik açığının rezervlerini boşalttıktan sonra kalıcı olarak kapanacağını duyurdu. Geliştirme ekibi, yeniden başlatmak için gerekli fonlardan yoksun olduklarını söyledi. Bunni DEX, kullanıcılara kalan varlıklarını çekebileceklerini bildirdi, ancak platformun hazinesi, şirketin faaliyetleri durdururken token sahipleri arasında bölüştürülecek.

Ne bilmek gerekir:

• Hackerlar, 2 Eylül'de Bunni DEX'in özelleştirilmiş likidite sistemini hızlı kredi kullanarak hesaplamaları manipüle etmek için istismar etti ve önceki güvenlik denetimlerine rağmen Ethereum ve Unichain ağları üzerinden fonları boşalttı.
• Platformun toplam kilitli değeri, saldırının saniyeler içinde aylık büyümeyi silmeden önce 2.2 milyon $'dan neredeyse $80 milyon $'a yükselmişti.
• Kapanış, 2025'te bir güvenlik firmasına göre exploitler nedeniyle kaybedilen 3.1 milyar dolardan fazla ile merkeziyetsiz finanslar için sorunlu bir yıla ekleniyor.

Sömürü detayları ve finansal sonuçlar

Açık, Bunni'nin likidite dağıtım işlevine yöneldi, bu, ekibin ticaret likiditesini optimize etmek için geliştirdiği özel bir mekanizmadır. Saldırganlar, blok zincirindeki aynı işlem içinde geri ödenmesi gereken, teminatsız ve geçici krediler olan hızlı kredileri kullanarak platformun iç hesaplamalarını manipüle ettiler. Bu, hackerların sistematik olarak fonları çekmelerine olanak tanıyan yuvarlama hatalarına neden oldu.

Hem Trail of Bits hem de Cyfrin, saldırıdan önce Bunni'nin kodunda güvenlik denetimleri gerçekleştirdi. Ancak, mantıksal seviyedeki zafiyet her iki firma tarafından da tespit edilmedi.

Ekip, açığı keşfettikten hemen sonra tüm akıllı sözleşmeleri durdurdu.

Platformanın yeniden başlatılmasının tam denetimler ve izleme sistemleri için altı ila yedi sıfırlık rakamlar gerektireceğini duyurdular. “Güvenli bir şekilde yeniden başlatmak için denetimler ve izleme için altı ila yedi sıfırlık rakamlara ihtiyacımız var, ancak elimizde bu sermaye yok,” diye yazdı ekip.

Bunni hazinesi, BUNNI, LIT ve veBUNNI token sahipleri arasında dağıtılacaktır. Geliştirme ekibi, herhangi bir tazminat ödemesinden hariç tutulacağını söyledi. Kullanıcılara, kalan varlıklarını “yeniden bir bildirim yapılana kadar” çekmeleri söylendi.

Kapatmadan önce, ekip akıllı sözleşmelerinin lisansını Business Source License'ın 2. versiyonundan MIT'ye değiştirdi. Bu, platformun teknolojisini—likidite dağıtım işlevleri, ücret artırma ve otonom yeniden dengeleme özellikleri dahil—diğer geliştiricilere açıyor.

Sektörün etkileri ve güvenlik endişeleri

Platformanın çöküşü, merkeziyetsiz finans protokollerindeki kalıcı zayıflıkları vurguluyor. Bunni, saldırıdan önceki aylarda hızlı bir büyüme yaşamıştı ve veriler, toplam kilitli değerinin 2.2 milyon dolardan neredeyse $80 milyona yükseldiğini gösteriyordu. Açık, bu ilerlemeyi saniyeler içinde ortadan kaldırdı.

Hızlı kredi saldırıları, merkeziyetsiz finanslarda tekrar eden bir sorun haline geldi. Bu exploitler, blockchain işlemlerinin atomik olarak gerçekleştirildiği gerçeğini kullanır—yani bir işlem içindeki tüm operasyonlar ya başarıyla tamamlanır ya da tamamen başarısız olur. Saldırganlar büyük miktarlarda borç alır, fiyatları veya hesaplamaları manipüle eder, manipülasyondan faydalanır, krediyi geri öder ve farkla kalırlar, tüm bunlar tek bir işlem içinde.

Bunni'de kaybedilen 8.4 milyon $, bu yıl merkeziyetsiz finans sektöründe gözlemlenen zararın sadece bir kısmını temsil ediyor.

Güvenlik araştırmacıları, 2025 yılında exploit nedeniyle toplamda 3.1 milyar dolardan fazla kayıp rapor etti.

Olay, geliştiricilerin akıllı sözleşmelerin özelleştirilmiş mantığını nasıl uyguladıklarını yeniden gözden geçirmelerine neden olabilir. Sektör gözlemcileri, platformların güvenlik denetimlerine harcamaları muhtemelen artıracaklarını, gerçek zamanlı izleme sistemleri kuracaklarını ve saldırganların zayıflıkları istismar etmeden önce tanımlamaları için araştırmacılara ödeme yapan hata ödül programlarını genişleteceklerini öneriyor.

Merkeziyetsiz finansalarda anahtar terimler

Toplam kilitli değer, bir merkeziyetsiz finans protokolüne yatırılan kripto para miktarını ifade eder ve platformun büyüklüğü ile kullanıcı güveninin bir ölçüsü olarak hizmet eder. Hızlı krediler, aynı blockchain işleminde ödünç alınması ve geri ödenmesi gereken teminatsız kredilerdir, genellikle arbitraj için kullanılır ancak saldırganlar tarafından da kötüye kullanılmaktadır. Akıllı sözleşmeler, bir anlaşmanın şartlarını aracı olmaksızın otomatik olarak uygulayan, blockchain'lerde otomatik olarak çalışan programlardır.

Likidite dağıtım işlevleri, merkeziyetsiz bir borsa aracılığıyla işlem likiditesinin farklı fiyat aralıklarına nasıl tahsis edildiğini yönetir ve hem işlemciler hem de likidite sağlayıcıları için sermaye verimliliğini artırmayı amaçlar.

Sonuç düşünceleri

Bunni DEX'in kapanması, büyük güvenlik açıklarının ardından merkeziyetsiz finans platformlarının karşılaştığı finansal ve teknik zorlukları göstermektedir. Ekibin, kapanmadan önce teknolojisinin kodunu açma kararı, diğer geliştiricilerin platformun zayıflıklarından öğrenerek gelecekteki projeleri inşa etmelerine olanak tanıyabilir.