Bunni DEX explorada por US$ 2,4 milhões com falha de liquidez forçando o desligamento

A Bunni, uma exchange descentralizada multi-rede, foi explorada por US$ 2,4 milhões hoje cedo, forçando-a a suspender as operações como contramedida.

De acordo com a equipe do projeto, a exploração foi identificada em seus contratos inteligentes baseados em Ethereum, levando o projeto a suspender imediatamente todas as funções de protocolo nas redes suportadas.

"Pausamos todas as funções de contrato inteligente em todas as redes. Nossa equipe está investigando ativamente e fornecerá atualizações em breve. Obrigado por sua paciência", anunciou Bunni por meio de um post de 1º de setembro.

Olhando para os dados on-chain, a carteira usada na exploração mostrou que os invasores desviaram cerca de US$ 2,4 milhões em stablecoins, incluindo US$ 1,33 milhão em USDC e US$ 1,04 milhão em USDT.

No entanto, a imagem pode ser mais sombria do que parece à primeira vista. Algumas estimativas que circulam entre os detetives de blockchain sugerem que as perdas reais podem ir muito além desse número, com totais subindo para mais de US$ 8 milhões. Veja abaixo.

Os fundos roubados foram então canalizados para duas carteiras, o que é uma marca registrada familiar de explorações coordenadas de DeFi, onde a liquidez é rapidamente consolidada.

Os invasores visaram a lógica de liquidez de Bunni

Até o momento, Bunni ainda não publicou uma autópsia oficial do incidente, mas desenvolvedores e pesquisadores que iniciaram análises preliminares acreditam que o ataque resultou de uma falha na Função de Distribuição de Liquidez (LDF) de Bunni.

Ao contrário de outras DEXs, como o modelo padrão da Uniswap, a Bunni usa esse mecanismo para otimizar os retornos, distribuindo liquidez entre as faixas de preço.

De acordo com o cofundador da Kyber Network, Victor Tran, o invasor manipulou a curva executando negociações de tamanhos muito específicos que enganaram a lógica de rebalanceamento para calcular mal quanto valia a ação de cada provedor de liquidez.

Na prática, isso permitiu que o explorador repetisse o processo várias vezes sem disparar alarmes, drenando gradualmente a piscina.

Como nenhum post-mortem oficial foi divulgado, a comunidade está aguardando clareza sobre se isso foi um descuido de codificação isolado ou uma falha arquitetônica mais profunda.

Explorações de DeFi continuam a abalar investidores de criptomoedas

O incidente também segue uma série de vulnerabilidades direcionadas a plataformas DeFi emergentes.

Apenas alguns meses antes, o Four.Meme, uma plataforma de lançamento de memecoin construída na BNB Chain, foi alvo de explorações consecutivas em fevereiro e março.

O ataque de março, realizado por meio de uma estratégia de manipulação de sanduíches, drenou cerca de US$ 120.000, ocorrendo apenas algumas semanas após uma perda separada de US$ 183.000.

Em todo o mercado, a atividade de exploração tornou-se quase uma provação regular. Somente nos últimos dois meses, a indústria de criptomoedas perdeu pelo menos US$ 300 milhões em fundos.

Somente em julho, os hackers fugiram com cerca de US$ 142 milhões em 17 incidentes, com a exchange criptomoedas indiana CoinDCX sofrendo o golpe mais pesado devido a uma violação de US$ 44 milhões.

As perdas subiram ainda mais em agosto, para cerca de US$ 163 milhões, distribuídos em 16 incidentes separados.

O maior ocorreu quando um Bitcoiner foi vítima de um estratagema de engenharia social, entregando 783 BTC no valor de US$ 91 milhões.

A exchange turca Btcturk também relatou uma perda de cerca de US$ 50 milhões, com os fundos desviados de suas carteiras quentes no mesmo mês.