Puntos Clave de la Noticia
- Escala del Exploit: Bunni perdió $8.4 millones después de que un «bug» de precisión permitiera a un atacante drenar pools de liquidez en Ethereum y Unichain.
- Método de Ataque: El hacker manipuló los cálculos de distribución de liquidez con tamaños de trade específicos para retirar tokens LP en exceso.
- Preocupaciones de Seguridad: A pesar de auditorías previas, la brecha plantea interrogantes sobre la revisión continua del código y la resiliencia de las plataformas DeFi.
El protocolo de exchange descentralizado Bunni, construido sobre Uniswap, ha sufrido una importante brecha de seguridad que resultó en pérdidas de $8.4 millones. El exploit, identificado por múltiples firmas de seguridad de Blockchain, se dirigió a un «bug» de precisión en la función de distribución de liquidez de la plataforma, lo que permitió al atacante drenar fondos de los pools de liquidez a través de Ethereum y Unichain.
🚨 The Bunni app has been affected by a security exploit. As a precaution, we have paused all smart contract functions on all networks. Our team is actively investigating and will provide updates soon. Thank you for your patience.
— Bunni (@bunni_xyz) September 2, 2025
Detección Rápida y Suspensión de Contratos
El incidente salió a la luz cuando la firma de auditoría BlockSec detectó transacciones sospechosas que involucraban aproximadamente $2.3 millones en Ethereum. En dos horas, Bunni confirmó la brecha y pausó todas las funciones de smart contract en cada red compatible como precaución.
Investigaciones adicionales de Hacken revelaron una pérdida extra de $6 millones en Unichain, que es la propia red de Uniswap, lo que eleva la cantidad total robada a $8.4 millones. Los fondos comprometidos permanecen en dos direcciones de wallet conocidas vinculadas al atacante.
Falla Técnica en la Distribución de Liquidez
Según el CEO de KyberSwap, Victor Tran, la vulnerabilidad se originó en una falla en la curva de la función de distribución de liquidez de Bunni. El atacante ejecutó trades de tamaños altamente específicos para manipular el cálculo de rebalanceo, produciendo resultados incorrectos para las asignaciones de cuotas de los proveedores de liquidez. Al repetir este proceso, el atacante pudo retirar tokens LP en exceso y vaciar sistemáticamente las reservas de liquidez de Bunni.
Historial de Auditorías e Interrogantes sin Respuesta
El código base de Bunni se había sometido previamente a revisiones por parte de firmas de seguridad respetadas, incluidas Trail of Bits y Cyfrin, con varios informes que señalaban hallazgos críticos. Sigue sin estar claro si el «bug» explotado se identificó en esas auditorías o se introdujo posteriormente.
Las transacciones del atacante dejaron más de 1,000 registros de eventos, algunos con comentarios como «Depositing to Euler» y «Unlock Callback», ofreciendo a los investigadores pistas detalladas sobre la ejecución del exploit.
Contexto Más Amplio de la Seguridad en DeFi
Tras la brecha, el cofundador de Euler, Michael Bentley, aclaró que, si bien Bunni rebalancea fondos hacia y desde Euler, el protocolo de préstamos de $1.5 mil millones no se vio afectado. En marzo de 2023, Euler fue hackeado por $200 millones, lo que subraya los riesgos continuos en DeFi. El exploit de Bunni se suma a una creciente lista de incidentes que destacan la necesidad de medidas de seguridad rigurosas y continuas en las plataformas DeFi.
