Bunni DEX explotado por 2,4 millones de dólares mientras una falla de liquidez obliga al cierre

Bunni, un exchange descentralizado de múltiples redes, fue explotado por 2,4 millones de dólares el día de hoy, lo que lo obligó a suspender sus operaciones como contramedida.

Según el equipo del proyecto, el exploit se identificó en sus contratos inteligentes basados en Ethereum, lo que llevó al proyecto a suspender inmediatamente todas las funciones del protocolo en las redes compatibles.

"Hemos pausado todas las funciones de contratos inteligentes en todas las redes. Nuestro equipo está investigando activamente y proporcionará actualizaciones pronto. Gracias por su paciencia", anunció Bunni a través de una publicación del 1 de septiembre.

Al observar los datos en cadena, la billetera utilizada en el exploit mostró que los atacantes desviaron alrededor de USD 2.4 millones en monedas estables, incluidos USD 1.33 millones en USDC y USD 1.04 millones en USDT.

Sin embargo, el panorama puede ser más sombrío de lo que parece a primera vista. Algunas estimaciones que circulan entre los detectives de blockchain sugieren que las pérdidas reales podrían extenderse mucho más allá de esa cifra, con totales que superan los USD 8 millones. Ver más abajo.

Luego, los fondos robados se canalizaron a dos billeteras, lo cual es un sello familiar de los exploits coordinados de DeFi donde la liquidez se consolida rápidamente.

Los atacantes apuntaron a la lógica de liquidez de Bunni

Al cierre de esta edición, Bunni aún no ha publicado una autopsia oficial del incidente, pero los desarrolladores e investigadores que han comenzado las revisiones preliminares creen que el ataque se debió a una falla en la función de distribución de liquidez (LDF) de Bunni.

A diferencia de otros DEX como el modelo estándar de Uniswap, Bunni utiliza este mecanismo para optimizar los rendimientos mediante la distribución de liquidez en rangos de precios.

Según el cofundador de Kyber Network, Victor Tran, el atacante manipuló la curva ejecutando operaciones de tamaños muy específicos que engañaron a la lógica de reequilibrio para que calculara mal cuánto valía la participación de cada proveedor de liquidez.

En la práctica, esto permitió al explotador repetir el proceso varias veces sin activar alarmas, drenando gradualmente la piscina.

Dado que no se ha publicado ninguna autopsia oficial, la comunidad está esperando claridad sobre si se trató de un descuido de codificación aislado o de una falla arquitectónica más profunda.

Los exploits de DeFi continúan sacudiendo a los inversores en criptomonedas

El incidente también sigue a una serie de vulnerabilidades dirigidas a plataformas DeFi emergentes.

Apenas unos meses antes, Four.Meme, una plataforma de lanzamiento de memecoin construida en BNB Chain, fue objeto de exploits consecutivos en febrero y marzo.

El ataque de marzo, llevado a cabo a través de una estrategia de manipulación de sándwiches, drenó aproximadamente USD 120,000, solo unas semanas después de una pérdida separada de USD 183,000.

En todo el mercado, la actividad de explotación se ha convertido casi en un calvario habitual. Solo en los últimos dos meses, la industria de las criptomonedas ha perdido al menos 300 millones de dólares en fondos.

Solo en julio, los piratas informáticos se llevaron alrededor de USD 142 millones en 17 incidentes, y el exchange criptomonedas indio CoinDCX sufrió el golpe más duro debido a una violación de USD 44 millones.

Las pérdidas aumentaron aún más en agosto a aproximadamente USD 163 millones repartidos en 16 incidentes separados.

El más grande se produjo cuando un Bitcoiner fue víctima de una artimaña de ingeniería social, entregando 783 BTC por valor de USD 91 millones.

El exchange turco Btcturk también reportó una pérdida de aproximadamente USD 50 millones, y los fondos fueron desviados de sus billeteras calientes el mismo mes.