Bunni DEX sofre perda de US$ 2,4 milhões após ataque de reequilíbrio de liquidez

• Exploit no Bunni DEX drenou US$ 2,4 milhões ao atacar a lógica de liquidez por meio dos hooks do Uniswap v4.
• Os atacantes usaram negociações de tamanhos precisos para quebrar os cálculos e drenar stablecoins.
• Os hacks em cripto subiram para US$ 163 milhões em agosto, mostrando ameaças em mudança nos mercados digitais.

A exchange descentralizada Bunni perdeu cerca de US$ 2,4 milhões após invasores explorarem vulnerabilidades em seus contratos inteligentes baseados em Ethereum. Dados onchain de várias empresas de segurança Web3 confirmaram a perda das stablecoins USDC e USDT. O ataque manipulou a lógica de distribuição de liquidez da Bunni, drenando fundos para um endereço que detinha US$ 1,33 milhão em USDC e US$ 1,04 milhão em USDT. Eles exploraram fraquezas na Liquidity Distribution Function (LDF), um recurso projetado para otimizar a liquidez em diferentes faixas de preço.

O colaborador principal da Bunni, @Psaul26ix, instou os usuários a retirarem seus fundos. “Se você tem dinheiro na Bunni, remova-o o quanto antes”, publicou. Esse alerta veio após preocupações de que os invasores poderiam continuar drenando ativos caso a liquidez permanecesse em pools vulneráveis.

Mais tarde, a Bunni confirmou a violação em um comunicado no X. “O aplicativo Bunni foi afetado por um exploit de segurança”, anunciou a equipe. Eles acrescentaram que todas as funções dos contratos inteligentes em todas as redes foram pausadas como precaução.

Hooks e a Superfície de Ataque em Expansão

A Bunni opera sobre o sistema de hooks do Uniswap v4. O CEO da Uniswap Labs, Hayden Adams, descreveu os hooks como “plugins para personalizar como pools, swaps, taxas e posições de LP interagem”. O recurso permite que protocolos adicionem funcionalidades únicas sobre a estrutura do Uniswap.

Embora o Uniswap v4 inclua recursos avançados como flash accounting, arquitetura singleton e suporte nativo a ETH, os hooks criam novos pontos de ataque. O exploit da Bunni demonstrou como a personalização, embora poderosa, pode aumentar o risco quando os mecanismos não passam por testes rigorosos.

O cofundador da KyberNetwork, Victor Tran, detalhou como o exploit funcionou. “O invasor percebeu que poderia manipular essa LDF realizando negociações de tamanhos muito específicos”, escreveu no X. Tran explicou que essas negociações quebraram o cálculo de rebalanceamento, produzindo resultados incorretos para as cotas dos provedores de liquidez.

O invasor repetiu o exploit várias vezes sem acionar alarmes imediatos, drenando milhões gradualmente. Isso mostrou como vulnerabilidades em lógicas personalizadas podem permitir ataques furtivos que passam despercebidos pelos sistemas de detecção padrão.

Preocupações Mais Amplas de Segurança em DeFi

As funções de liquidez da Bunni operam por meio da Euler Finance, que é um acordo de empréstimo e empréstimo que também constrói produtos financeiros. Após o ataque, o fundador da Euler, Michael Bentley, explicou que a Bunni direciona liquidez para dentro/fora da Euler em determinados momentos, mas que a própria Euler não foi afetada. Sua explicação serviu como resposta para acalmar preocupações sobre um possível efeito dominó mais amplo.   

Um dos maiores atrativos dos lançamentos mais recentes de DeFi é a adição de recursos avançados, como rebalanceamento automatizado, estruturas de taxas flexíveis e disponibilidade instantânea de capital. Mas essas inovações frequentemente introduzem novas vulnerabilidades, já que raramente são testadas sob cenários reais de ataque. 

Relacionado: Hacks em cripto atingem US$ 163 milhões em agosto com aumento de 15% nos ataques

Para lidar com esses riscos, especialistas em segurança enfatizam a importância de medidas preventivas. Práticas recomendadas incluem auditorias formais, simulações adversariais, implantações com atraso de tempo e programas de recompensa de bugs bem financiados. Essas medidas, segundo os especialistas, são críticas para hooks e outros recursos que alteram a contabilidade de ativos.

O incidente da Bunni também se encaixa em uma tendência maior. Segundo a PeckShield, hackers roubaram mais de US$ 163 milhões em 16 incidentes em agosto, marcando um aumento de 15% em relação aos US$ 142 milhões de julho. Embora os roubos permaneçam 47% menores na comparação anual, os atacantes parecem estar mudando de estratégia.