BunniXYZ exchange de Ethereum sofre uma violação de $2.3M

SourceCryptopolitan

2 Set 2025 08:12

Eu assisti em tempo real enquanto o BunniXYZ foi drenado ontem. Mais um dia, mais uma exploração DeFi - desta vez com saídas não autorizadas totalizando cerca de $2,3M da troca Ethereum.

O hack visou um dos contratos inteligentes da BunniXYZ, com o atacante a ir principalmente atrás das reservas de stablecoins. A CertiK foi rápida a dar o alerta:

#CertiKInsight 🚨

Identificámos uma exploração de $2,3M no contrato BunniHub da @bunni_xyz.

O explorador exfiltrou fundos para 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b.

Fique Vigilante!

— CertiK Alert (@CertiKAlert) 2 de setembro de 2025

Analisando o rastro da transação, o hacker atingiu os cofres de USDT e USDC antes de embaralhar tokens pelo ecossistema do Ethereum, acumulando eventualmente uma combinação de ETH e stablecoins. A BunniXYZ reconheceu rapidamente o ataque e desligou todos os contratos inteligentes, mas não antes de danos significativos serem causados.

O explorador continuou a trocar fundos por ETH através de vários protocolos DeFi posteriormente. Curiosamente, eles não misturaram ou ofuscaram imediatamente os fundos além desses movimentos iniciais. Este hack junta-se a uma crescente tendência de ataques “menores” sob $10M que ainda devastam protocolos e destroem a confiança dos usuários.

Esses exploits, como o recente ataque ao BetterBank, levantam questões sobre um possível envolvimento interno ou hackers norte-coreanos injetando código malicioso em projetos Web3.

Atingiu o pico de popularidade

BunniXYZ opera em Ethereum e Unichain, aproveitando a tecnologia Uniswap V4 para cofres especializados com regras de negociação complexas. O momento do ataque parece calculado - atingindo exatamente quando a bolsa alcançou um pico local de $60M em valor bloqueado.

Apesar de ser relativamente novo (lançado em fevereiro), BunniXYZ encontrou seu nicho entre os protocolos DeFi emergentes. Agosto foi particularmente bem-sucedido com mais de $1B em volume de negociações. A troca se especializou em estratégias de liquidez de rehypothecation enquanto evitava liquidações durante quedas de mercado, com conexões ao Euler Protocol para geração de renda passiva.

O projeto tinha estado a aproveitar o sucesso do Uniswap V4, que tinha atraído mais de $393M para os seus cofres Ethereum e $298M na Unichain.

Vulnerabilidade técnica exposta

A análise pós-ataque revelou que a exploração visava o contrato de recalibração de liquidez personalizado da BunniXYZ. Enquanto usava a tecnologia Uniswap V4 como um gancho de liquidez, a BunniXYZ implementou sua própria Função de Distribuição de Liquidez em vez de usar os cálculos nativos da Uniswap.

O atacante descobriu que tamanhos de negociação específicos poderiam quebrar esta função, fazendo com que o contrato inteligente liberasse mais tokens do que realmente existiam no pool de liquidez. Múltiplas transações foram necessárias para acumular os $2,3M antes de converter para ETH. Os fundos roubados acabaram em Aave, com a carteira mostrando $1,33M em AethUSDC e $1M em AethUSDT.

Apesar de auditorias anteriores, este bug LDF provavelmente apareceu em uma versão posterior. O culpado mais provável? Um erro de precisão que exigia múltiplas transações para ser explorado totalmente através de recalculos defeituosos.