Bunni DEX bestätigt Schließung nach Verlust von 8,4 Millionen Dollar durch Exploit im September

In einem weiteren Rückschlag für die dezentrale Finanzbranche hat Bunni nach einem schweren Exploit, der den Betrieb zum Erliegen brachte, seine Schließung bekannt gegeben.

Bunni, die dezentrale Börse, die für ihre Innovationen im Bereich Liquidität bekannt ist, wurde nach einem schweren Exploit, bei dem über $8,4 Millionen an Nutzervermögen abgezogen wurden, offiziell geschlossen.

Die Entscheidung wurde am 23. Oktober über den offiziellen X-Account des Projekts bekannt gegeben. Das Team erklärte, dass der Hack das Wachstum gestoppt und das Projekt außerstande gesetzt habe, einen sicheren Neustart zu finanzieren. Die Schließung markiert das Ende einer der technisch ambitioniertesten DeFi-Börsen, die auf Uniswap (UNI) V4 Hooks aufgebaut war.

Hack macht Wiederherstellung unmöglich

Der Angriff, der sich gegen Bunnis primäre Ethereum (ETH) und Unichain Smart Contracts richtete, fand Anfang September statt. Angreifer nutzten eine Schwachstelle in der Liquidity Distribution Function des Projekts aus – einer Funktion, die dazu gedacht war, die Renditen für Liquiditätsanbieter zu optimieren. Dadurch konnten sie durch Flash-Loan-Manipulationen und Rundungsfehler mehr Vermögenswerte abziehen, als ihnen zustanden.

Rund $8,4 Millionen wurden abgezogen, hauptsächlich in USDC und USDT, bevor das Team die Vertragsoperationen stoppte. Es wurde eine Belohnung von 10% zur Wiederbeschaffung der Gelder angeboten, aber der Angreifer reagierte nie. Trotz früherer Audits durch Trail of Bits und Cyfrin wurde der Fehler als „Logikfehler“ und nicht als Implementierungsfehler eingestuft.

Seit dem Hack ist der Total Value Locked von Bunni von über $60 Millionen auf nahezu null gefallen, und Handels- sowie Entwicklungsaktivitäten sind zum Erliegen gekommen.

Open-Source-Abschied und Entschädigungsplan für Nutzer

In seiner Abschlusserklärung teilte das Bunni-Team mit, dass es „sechs- bis siebenstellige“ Beträge für Audits und Überwachung sowie mehrere Monate für die Neuentwicklung benötigt hätte, um den Betrieb sicher wieder aufzunehmen – Kosten, die nicht gedeckt werden konnten.

Nutzer können weiterhin über die Bunni-Website Gelder abheben, bis eine weitere Mitteilung erfolgt. Die verbleibenden Treasury-Vermögenswerte werden nach Abschluss des rechtlichen Prozesses an BUNNI-, LIT- und veBUNNI-Inhaber entsprechend einem Snapshot verteilt. Teammitglieder sind von der Verteilung ausgeschlossen.

Als letzten Schritt hat Bunni seine v2 Smart Contracts von BUSL auf MIT umgestellt, sodass seine Technologien, einschließlich LDFs, Surge Fees und autonomes Rebalancing, anderen Entwicklern frei zur Verfügung stehen. Das Team arbeitet weiterhin mit den Strafverfolgungsbehörden zusammen, um die gestohlenen Gelder zurückzuholen.

Die Schließung reiht sich in ein schwieriges Jahr für die Blockchain-Sicherheit ein – allein im Jahr 2025 gingen durch Hacks und Exploits bereits über $3,1 Milliarden verloren.