BunniXYZ intercambio de Ethereum sufre una violación de $2.3M

SourceCryptopolitan

2 Sept 2025 08:12

Vi en tiempo real cómo BunniXYZ fue drenado ayer. Otro día, otro exploit de DeFi - esta vez con salidas no autorizadas que totalizan alrededor de $2.3M de la exchange de Ethereum.

El hackeo tuvo como objetivo uno de los contratos inteligentes de BunniXYZ, con el atacante buscando principalmente las reservas de stablecoins. CertiK fue rápido en dar la alarma:

#CertiKInsight 🚨

Hemos identificado un exploit de $2.3M en el contrato BunniHub de @bunni_xyz.

El explotador ha exfiltrado fondos a 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b.

¡Mantente Vigilante!

— CertiK Alert (@CertiKAlert) 2 de septiembre de 2025

Al observar la trayectoria de la transacción, el hacker atacó los vaults de USDT y USDC antes de mezclar tokens a través del ecosistema de Ethereum, acumulando finalmente una combinación de ETH y stablecoins. BunniXYZ reconoció rápidamente el ataque y cerró todos los contratos inteligentes, pero no antes de que se causara un daño significativo.

El explotador continuó intercambiando fondos por ETH a través de varios protocolos DeFi después. Curiosamente, no mezclaron ni ocultaron inmediatamente los fondos más allá de estos movimientos iniciales. Este hack se une a una creciente tendencia de ataques “más pequeños” bajo $10M que aún devastan protocolos y destruyen la confianza de los usuarios.

Estos exploits, como el reciente ataque a BetterBank, plantean preguntas sobre la posible participación de personas internas o de hackers norcoreanos inyectando código malicioso en proyectos Web3.

Alcanzó la máxima popularidad

BunniXYZ opera en Ethereum y Unichain, aprovechando la tecnología de Uniswap V4 para bóvedas especializadas con reglas comerciales complejas. El momento del ataque parece calculado: golpeando justo cuando el intercambio alcanzó un pico local de $60M en valor bloqueado.

A pesar de ser relativamente nuevo (lanzado en febrero), BunniXYZ había encontrado su nicho entre los protocolos DeFi emergentes. Agosto había sido particularmente exitoso con más de $1B en volumen de operaciones. El intercambio se especializó en estrategias de liquidez de rehypothecation mientras evitaba liquidaciones durante las caídas del mercado, con conexiones al Protocolo Euler para la generación de ingresos pasivos.

El proyecto había estado aprovechando el éxito de Uniswap V4, que había atraído más de $393M a sus bóvedas de Ethereum y $298M en Unichain.

Vulnerabilidad técnica expuesta

El análisis posterior al ataque reveló que la explotación tenía como objetivo el contrato de recalibración de liquidez personalizado de BunniXYZ. Al utilizar la tecnología Uniswap V4 como un gancho de liquidez, BunniXYZ implementó su propia Función de Distribución de Liquidez en lugar de utilizar los cálculos nativos de Uniswap.

El atacante descubrió que tamaños de operación específicos podían romper esta función, causando que el contrato inteligente liberara más tokens de los que realmente existían en el fondo de liquidez. Se necesitaban múltiples transacciones para acumular los $2.3M completos antes de convertir a ETH. Los fondos robados terminaron en Aave, con la billetera mostrando $1.33M en AethUSDC y $1M en AethUSDT.

A pesar de las auditorías anteriores, es probable que este error LDF haya aparecido en una versión posterior. ¿El culpable más probable? Un error de precisión que requería múltiples transacciones para ser explotado completamente a través de recalculos defectuosos.

ETH-4.5%
USDC0.01%
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
  • Recompensa
  • Comentar
  • Republicar
  • Compartir
Comentar
0/400
Sin comentarios
  • Anclado
Opera con criptomonedas en cualquier momento y lugar
qrCode
Escanee para descargar la aplicación Gate
Comunidad
Español
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)