هجوم جديد استهدف أموال LP على إثيريوم: بروتوكول بوني، المتخصص في إدارة السيولة، قد أوقف العقود مؤقتًا بعد سحب غير طبيعي يُقدر بين حوالي 2.3 و 2.4 مليون دولار - كما أفادت به The Block ووفقًا للمخاطر التي تم تحليلها في تقرير أمان OpenZeppelin. تشير التحليلات الأولية إلى أن الاستغلال قد يكون استغل ثغرة في وظيفة توزيع السيولة، مما أدى إلى تغيير غير صحيح في حصص LP.
وفقًا للبيانات التي جمعتها فريق تحليل البيانات على السلسلة لدينا، والتي تم تحديثها في 2 سبتمبر 2025، تظهر المعاملات المشبوهة أنماطًا متكررة وتحويلات جزئية إلى عناوين متعددة، وهو ما يتماشى مع هجوم يهدف إلى استغلال إعادة التوازن. تشير المراجعات المتبادلة لدينا على المستكشفات العامة إلى سحب منسق في USDC و USDT بقيمة تقدر بحوالي 1.33 مليون دولار و 1.04 مليون دولار على التوالي. يشير محللو الصناعة إلى أن الثغرات المتعلقة بمنطق إعادة التوازن والأوراكل هي سبب متكرر في حوادث DeFi الأخيرة.
باختصار: ما نعرفه حتى الآن عن اختراق Bunni DEX
من: بوني، بروتوكول إدارة السيولة على إثيريوم.
ما: تصريف الأموال من العقود الذكية وتعليق العمليات كإجراء أمني وقائي.
دوف: شبكة إثيريوم، مع تحركات قابلة للتتبع على السلسلة.
متى: تم اكتشاف الحدث في الأيام التي سبقت 2 سبتمبر 2025؛ لا تزال التحقيقات جارية.
كيف: من خلال التلاعب بآليات إعادة توازن السيولة، مما أدى إلى أخطاء في حساب حصص LP.
جدول زمني للأحداث
تسلسل أساسي
الكشف عن التحركات غير العادية في برك العملات المستقرة، وخاصة USDC و USDT.
تواصل رسمي من الفريق، تأكيد الحادث، وتعليق العقود للحد من الأضرار.
تحليل أولي على السلسلة: تقديرات الخسائر تتراوح بين حوالي 2.3 و 2.4 مليون دولار، مع سحب متكرر ومبالغ متغيرة.
بدء الفحوصات الفنية على وظيفة توزيع السيولة وآلية إعادة التوازن.
تفاصيل على السلسلة
الأصول المتأثرة: العملة المستقرة USDC ( حوالي 1.33 مليون دولار) و USDT ( حوالي 1.04 مليون دولار)، والتي تتقارب مع تقدير إجمالي الخسائر.
النمط: سلسلة من التداولات المستهدفة بمبالغ محسوبة لفرض إعادة توازن غير مو favorable لصناديق السيولة.
العناوين وهاش: تم فحصها من قبل شركات تحليل البلوكتشين المختلفة، على الرغم من أنه لم يتم بعد إصدار مراجع مباشرة إلى المستكشفين علنًا.
وسائل الإعلام المختلفة، بما في ذلك The Block و BitcoinEthereumNews، قد أفادت عن هذه العناصر، مبرزة الأنماط المتكررة من التحويلات المشبوهة في الساعات التي سبقت تعليق العقود.
آليات الضعف
كيف يعمل التوزيع السيولي
بني يستخدم وظيفة توزيع السيولة التي تسمح بتخصيص رأس المال في نطاقات سعرية محددة، مما يحسن عوائد LP من خلال إعادة التوازن الناتجة عن المعاملات. الهدف هو تقليل كساد الصناديق؛ ومع ذلك، يمكن أن يفتح هذا النهج أسطح هجوم جديدة إذا لم تكن منطق إعادة التوازن قوية بما فيه الكفاية.
أين علق النظام
التلاعب بالمنحنى من خلال عمليات التداول المستهدفة والمتكررة.
حسابات مراكز السيولة التي، بعد إعادة التوازن، أدت إلى حصص غير صحيحة.
في الجوهر، سمح منطق إعادة التوازن غير المرن للمهاجمين باستخراج القيمة من مزودي السيولة دون تفعيل آليات التنبيه على الفور. جانب مثير للاهتمام هو تعددية المبالغ، مما يدل على استراتيجية مصقولة.
الأثر والأرقام
الخسارة المقدرة: حوالي 2.3–2.4 مليون دولار.
التوكنات المعنية: USDC و USDT.
حالة التشغيل: تم إيقاف العقود والوظائف الذكية معلقة حالياً.
نقطة حرجة: حساب حصص LP وإدارة السيولة خلال عمليات إعادة التوازن.
ردود فعل رسمية والسياق
أعلنت فريق Bunni عن تعليق العقود كإجراء أمني فوري، موضحةً أن تحليل ما بعد الحادث جارٍ لتحديد وتصحيح الثغرة. في الوقت الحالي، لم يتم تقديم أي اقتباسات مباشرة أو بيانات رسمية مع توقيعات زمنية قابلة للتحقق؛ التحقيقات جارية والأولوية تبقى في تأمين العقود والسيولة المتبقية.
تدابير التخفيف
تدقيق مستمر على وظائف إعادة التوازن وآليات محاسبة مزودي السيولة، بما في ذلك الاختبارات في سيناريوهات معادية.
حدود حجم المعاملة التي يمكن أن تؤدي إلى إعادة التوازن الحساس.
تنفيذ قاطع الدائرة والمراقبة في الوقت الحقيقي للانزلاق والتغيرات غير الطبيعية في عروض الأسعار لـ LP.
استخدام قفل الوقت للتغييرات الحرجة واعتماد العمليات متعددة التوقيع لوظائف الإدارة.
إنشاء صناديق طوارئ أو تغطية تأمينية للتخفيف من آثارها على المستخدمين.
تعد هذه التدابير المضادة ضرورية في إدارة مخاطر التمويل اللامركزي.
دليل التشغيل لبروتوكولات السيولة
تنفيذ اختبارات الضغط والمحاكاة للهجمات الاقتصادية قبل الإصدارات الرسمية.
تنفيذ تحديد المعدل على الوظائف التي تؤثر على منحنى التوزيع.
المراقبة النشطة لمؤشرات الإنذار مثل الانزلاق، التغيرات في حصص LP، والتدفقات غير المتوقعة إلى المحافظ.
تحديث دوري لإجراءات استجابة الحوادث والتدريبات للتحقق من فعاليتها.
استخدام الأوراق الموثوقة وإدخال الحواجز الرياضية لمنع الأخطاء في الحسابات.
الخطوات التالية للمستخدمين والمطورين
المستخدمون: راقب تحديثات البروتوكول الرسمية وتحقق من سجلات السلسلة لأي تغييرات في المسابح المتأثرة.
المطورون: أكملوا تقرير الحادثة الفني، أطلقوا تصحيحات مؤقتة، و خططوا لتدقيق مستقل يركز على وظيفة إدارة السيولة وحسابات مزودي السيولة.
ما الذي يجب مراقبته
تم تأكيد تجزئة المعاملة والعناوين على المستكشف مثل Etherscan أو Blockscout من أجل تتبع كامل.
تحديثات حول إصدار التصحيحات والجدول الزمني المتوقع لإعادة تفعيل العقود.
تقارير الطب الشرعي من شركات تحليل البلوكشين ونتائج التدقيق العامة.
أي برامج مكافآت أو اتفاقيات لاسترداد الأموال المسروقة.
استنتاجات
الهجوم على بوني يظهر كيف أن الابتكارات في توزيع السيولة يمكن أن تقدم أسطح هجوم جديدة عندما لا تكون آلية إعادة التوازن قوية بما فيه الكفاية
إن الجمع بين تلاعب المنحنى والأخطاء في حسابات LP جعل من الممكن سحب ما يقرب من 2.3–2.4 مليون دولار من العملات المستقرة.
يجب أن يُقال إن الأولوية الآن هي إكمال تحليل شفاف بعد الحادث، وتصحيح منطق إدارة السيولة، وإدخال ضوابط دفاعية أكثر صرامة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
بوني DEX تحت الهجوم: حوالي 2.4 مليون دولار من العملات المستقرة المسروقة على إثيريوم، العقود p...
هجوم جديد استهدف أموال LP على إثيريوم: بروتوكول بوني، المتخصص في إدارة السيولة، قد أوقف العقود مؤقتًا بعد سحب غير طبيعي يُقدر بين حوالي 2.3 و 2.4 مليون دولار - كما أفادت به The Block ووفقًا للمخاطر التي تم تحليلها في تقرير أمان OpenZeppelin. تشير التحليلات الأولية إلى أن الاستغلال قد يكون استغل ثغرة في وظيفة توزيع السيولة، مما أدى إلى تغيير غير صحيح في حصص LP.
وفقًا للبيانات التي جمعتها فريق تحليل البيانات على السلسلة لدينا، والتي تم تحديثها في 2 سبتمبر 2025، تظهر المعاملات المشبوهة أنماطًا متكررة وتحويلات جزئية إلى عناوين متعددة، وهو ما يتماشى مع هجوم يهدف إلى استغلال إعادة التوازن. تشير المراجعات المتبادلة لدينا على المستكشفات العامة إلى سحب منسق في USDC و USDT بقيمة تقدر بحوالي 1.33 مليون دولار و 1.04 مليون دولار على التوالي. يشير محللو الصناعة إلى أن الثغرات المتعلقة بمنطق إعادة التوازن والأوراكل هي سبب متكرر في حوادث DeFi الأخيرة.
باختصار: ما نعرفه حتى الآن عن اختراق Bunni DEX
من: بوني، بروتوكول إدارة السيولة على إثيريوم.
ما: تصريف الأموال من العقود الذكية وتعليق العمليات كإجراء أمني وقائي.
دوف: شبكة إثيريوم، مع تحركات قابلة للتتبع على السلسلة.
متى: تم اكتشاف الحدث في الأيام التي سبقت 2 سبتمبر 2025؛ لا تزال التحقيقات جارية.
كيف: من خلال التلاعب بآليات إعادة توازن السيولة، مما أدى إلى أخطاء في حساب حصص LP.
جدول زمني للأحداث
تسلسل أساسي
الكشف عن التحركات غير العادية في برك العملات المستقرة، وخاصة USDC و USDT.
تواصل رسمي من الفريق، تأكيد الحادث، وتعليق العقود للحد من الأضرار.
تحليل أولي على السلسلة: تقديرات الخسائر تتراوح بين حوالي 2.3 و 2.4 مليون دولار، مع سحب متكرر ومبالغ متغيرة.
بدء الفحوصات الفنية على وظيفة توزيع السيولة وآلية إعادة التوازن.
تفاصيل على السلسلة
الأصول المتأثرة: العملة المستقرة USDC ( حوالي 1.33 مليون دولار) و USDT ( حوالي 1.04 مليون دولار)، والتي تتقارب مع تقدير إجمالي الخسائر.
النمط: سلسلة من التداولات المستهدفة بمبالغ محسوبة لفرض إعادة توازن غير مو favorable لصناديق السيولة.
العناوين وهاش: تم فحصها من قبل شركات تحليل البلوكتشين المختلفة، على الرغم من أنه لم يتم بعد إصدار مراجع مباشرة إلى المستكشفين علنًا.
وسائل الإعلام المختلفة، بما في ذلك The Block و BitcoinEthereumNews، قد أفادت عن هذه العناصر، مبرزة الأنماط المتكررة من التحويلات المشبوهة في الساعات التي سبقت تعليق العقود.
آليات الضعف
كيف يعمل التوزيع السيولي
بني يستخدم وظيفة توزيع السيولة التي تسمح بتخصيص رأس المال في نطاقات سعرية محددة، مما يحسن عوائد LP من خلال إعادة التوازن الناتجة عن المعاملات. الهدف هو تقليل كساد الصناديق؛ ومع ذلك، يمكن أن يفتح هذا النهج أسطح هجوم جديدة إذا لم تكن منطق إعادة التوازن قوية بما فيه الكفاية.
أين علق النظام
التلاعب بالمنحنى من خلال عمليات التداول المستهدفة والمتكررة.
حسابات مراكز السيولة التي، بعد إعادة التوازن، أدت إلى حصص غير صحيحة.
تصفية تدريجية للأموال، مُنسقة لتجنب تفعيل المحفزات الدفاعية التلقائية.
في الجوهر، سمح منطق إعادة التوازن غير المرن للمهاجمين باستخراج القيمة من مزودي السيولة دون تفعيل آليات التنبيه على الفور. جانب مثير للاهتمام هو تعددية المبالغ، مما يدل على استراتيجية مصقولة.
الأثر والأرقام
الخسارة المقدرة: حوالي 2.3–2.4 مليون دولار.
التوكنات المعنية: USDC و USDT.
حالة التشغيل: تم إيقاف العقود والوظائف الذكية معلقة حالياً.
نقطة حرجة: حساب حصص LP وإدارة السيولة خلال عمليات إعادة التوازن.
ردود فعل رسمية والسياق
أعلنت فريق Bunni عن تعليق العقود كإجراء أمني فوري، موضحةً أن تحليل ما بعد الحادث جارٍ لتحديد وتصحيح الثغرة. في الوقت الحالي، لم يتم تقديم أي اقتباسات مباشرة أو بيانات رسمية مع توقيعات زمنية قابلة للتحقق؛ التحقيقات جارية والأولوية تبقى في تأمين العقود والسيولة المتبقية.
تدابير التخفيف
تدقيق مستمر على وظائف إعادة التوازن وآليات محاسبة مزودي السيولة، بما في ذلك الاختبارات في سيناريوهات معادية.
حدود حجم المعاملة التي يمكن أن تؤدي إلى إعادة التوازن الحساس.
تنفيذ قاطع الدائرة والمراقبة في الوقت الحقيقي للانزلاق والتغيرات غير الطبيعية في عروض الأسعار لـ LP.
استخدام قفل الوقت للتغييرات الحرجة واعتماد العمليات متعددة التوقيع لوظائف الإدارة.
إنشاء صناديق طوارئ أو تغطية تأمينية للتخفيف من آثارها على المستخدمين.
تعد هذه التدابير المضادة ضرورية في إدارة مخاطر التمويل اللامركزي.
دليل التشغيل لبروتوكولات السيولة
تنفيذ اختبارات الضغط والمحاكاة للهجمات الاقتصادية قبل الإصدارات الرسمية.
تنفيذ تحديد المعدل على الوظائف التي تؤثر على منحنى التوزيع.
المراقبة النشطة لمؤشرات الإنذار مثل الانزلاق، التغيرات في حصص LP، والتدفقات غير المتوقعة إلى المحافظ.
تحديث دوري لإجراءات استجابة الحوادث والتدريبات للتحقق من فعاليتها.
استخدام الأوراق الموثوقة وإدخال الحواجز الرياضية لمنع الأخطاء في الحسابات.
الخطوات التالية للمستخدمين والمطورين
المستخدمون: راقب تحديثات البروتوكول الرسمية وتحقق من سجلات السلسلة لأي تغييرات في المسابح المتأثرة.
المطورون: أكملوا تقرير الحادثة الفني، أطلقوا تصحيحات مؤقتة، و خططوا لتدقيق مستقل يركز على وظيفة إدارة السيولة وحسابات مزودي السيولة.
ما الذي يجب مراقبته
تم تأكيد تجزئة المعاملة والعناوين على المستكشف مثل Etherscan أو Blockscout من أجل تتبع كامل.
تحديثات حول إصدار التصحيحات والجدول الزمني المتوقع لإعادة تفعيل العقود.
تقارير الطب الشرعي من شركات تحليل البلوكشين ونتائج التدقيق العامة.
أي برامج مكافآت أو اتفاقيات لاسترداد الأموال المسروقة.
استنتاجات
الهجوم على بوني يظهر كيف أن الابتكارات في توزيع السيولة يمكن أن تقدم أسطح هجوم جديدة عندما لا تكون آلية إعادة التوازن قوية بما فيه الكفاية
إن الجمع بين تلاعب المنحنى والأخطاء في حسابات LP جعل من الممكن سحب ما يقرب من 2.3–2.4 مليون دولار من العملات المستقرة.
يجب أن يُقال إن الأولوية الآن هي إكمال تحليل شفاف بعد الحادث، وتصحيح منطق إدارة السيولة، وإدخال ضوابط دفاعية أكثر صرامة.
الأرقام والعناوين (ملخص)
المبلغ المقدر: حوالي 2.3–2.4 مليون دولار.
الرمز: USDC ( حوالي 1.33M) و USDT ( حوالي 1.04M).
الحالة: العقود معلقة، التحقيقات مستمرة.