Bunni DEX sufre una pérdida de 2.4 millones de dólares tras un ataque de reequilibrio de liquidez

• El exploit en Bunni DEX drenó $2.4M al atacar la lógica de liquidez a través de los hooks de Uniswap v4.
• Los atacantes utilizaron operaciones de tamaños precisos para romper los cálculos y drenar stablecoins.
• Los hackeos cripto aumentaron a $163M en agosto, mostrando amenazas cambiantes en los mercados digitales.

El exchange descentralizado Bunni perdió aproximadamente $2.4 millones después de que atacantes explotaran vulnerabilidades en sus contratos inteligentes basados en Ethereum. Datos onchain de varias firmas de seguridad Web3 confirmaron la pérdida de stablecoins USDC y USDT. El ataque manipuló la lógica de distribución de liquidez de Bunni, drenando fondos hacia una dirección que contenía $1.33 millones en USDC y $1.04 millones en USDT. Aprovecharon debilidades en la Liquidity Distribution Function (LDF), una función diseñada para optimizar la liquidez a través de rangos de precios.

El colaborador principal de Bunni, @Psaul26ix, instó a los usuarios a retirar sus fondos. “Si tienes dinero en Bunni, retíralo lo antes posible”, publicó. Esta advertencia siguió a preocupaciones de que los atacantes podrían continuar drenando activos si la liquidez permanecía en pools vulnerables.

Más tarde, Bunni confirmó la brecha en un comunicado en X. “La aplicación Bunni ha sido afectada por un exploit de seguridad”, anunció el equipo. Añadieron que todas las funciones de los contratos inteligentes en todas las redes fueron pausadas como medida de precaución.

Hooks y la Superficie de Ataque en Expansión

Bunni opera sobre el sistema de hooks de Uniswap v4. El CEO de Uniswap Labs, Hayden Adams, describió los hooks como “plugins para personalizar cómo interactúan los pools, swaps, comisiones y posiciones LP”. Esta función permite a los protocolos añadir funcionalidades únicas sobre la infraestructura de Uniswap.

Aunque Uniswap v4 incluye características avanzadas como flash accounting, arquitectura singleton y soporte nativo para ETH, los hooks crean nuevos puntos de ataque. El exploit de Bunni demostró cómo la personalización, aunque poderosa, puede aumentar el riesgo cuando los mecanismos carecen de pruebas exhaustivas.

El cofundador de KyberNetwork, Victor Tran, detalló cómo funcionó el exploit. “El explotador descubrió que podía manipular este LDF realizando operaciones de tamaños muy específicos”, escribió en X. Tran explicó que estas operaciones rompían el cálculo de rebalanceo, produciendo resultados incorrectos para las participaciones de los proveedores de liquidez.

El atacante repitió el exploit varias veces sin activar alarmas inmediatas, drenando millones gradualmente. Esto mostró cómo las vulnerabilidades en la lógica personalizada pueden permitir ataques sigilosos que evaden los sistemas estándar de detección.

Preocupaciones de Seguridad Más Amplias en DeFi

Las funciones de liquidez de Bunni operan a través de Euler Finance, que es un acuerdo de préstamo y préstamo que también construye productos financieros. Tras el ataque, el fundador de Euler, Michael Bentley, explicó que Bunni enruta liquidez dentro y fuera de Euler en ocasiones, pero que Euler en sí mismo no fue afectado. Su explicación sirvió para responder a preocupaciones sobre un posible contagio más amplio.   

Uno de los mayores atractivos de los lanzamientos DeFi más recientes es la adición de funciones avanzadas como el rebalanceo automatizado, estructuras de comisiones flexibles y disponibilidad instantánea de capital. Pero estas innovaciones a menudo introducen nuevas vulnerabilidades, ya que rara vez se someten a pruebas de estrés frente a escenarios de ataque del mundo real. 

Relacionado: Los hackeos cripto alcanzaron $163M en agosto mientras los ataques aumentan un 15%

Para abordar estos riesgos, los expertos en seguridad enfatizan la importancia de medidas preventivas. Las prácticas recomendadas incluyen auditorías formales, simulaciones adversariales, despliegues con retardo temporal y programas de recompensas por bugs bien financiados. Estas medidas, señalan los expertos, son críticas para los hooks y otras funciones que alteran la contabilidad de activos.

El incidente de Bunni también encaja en una tendencia más amplia. Según PeckShield, los hackers robaron más de $163 millones en 16 incidentes en agosto, lo que representa un aumento del 15% respecto a los $142 millones de julio. Aunque los robos siguen siendo un 47% menores interanualmente, los atacantes parecen estar cambiando de estrategia.