A bolsa de Ethereum BunniXYZ sofre uma violação de US$ 2,3 milhões
A corretora Ethereum BunniXYZ sofreu uma série de saídas não autorizadas. Investigadores on-chaindento evento como um hack, com perdas de cerca de US$ 2,3 milhões.
A BunniXYZ, uma exchange descentralizada Ethereum , foi explorada por meio de um de seustracinteligentes. O hacker movimentou principalmente stablecoins, resultando em uma perda total de US$ 2,3 milhões.
#CertiKInsight 🚨
Identificamos dent US$ 2,3 milhões no trac @bunni_xyz BunniHub . https://t.co/lZB0vzSMQx
O explorador exfiltrou fundos para 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b.
Fique atento!
— CertiK Alert (@CertiKAlert) 2 de setembro de 2025
Com base no histórico de transações , o hacker atacou os cofres USDT e USDC e, em seguida, moveu os tokens pelo Ethereum , resultando em uma mistura de ETH e stablecoins. Nos primeiros minutos, o BunniXYZ trac inteligentes .
Logo após o hack, o explorador continuou a trocar fundos para ETH por meio de outros protocolos DeFi
Na hora seguinte ao ataque, o hacker ainda não havia movimentado ou misturado os fundos, exceto pelas movimentações iniciais por meio de protocolos DeFi . O ataque contra a BunniXYZ faz parte da mais recente série de ataques relativamente pequenos, que roubaram menos de US$ 10 milhões.
Mesmo os ataques relativamente pequenos costumam custar a reputação de protocolos e destruir novos DeFi . Uma das explorações de contratos inteligentes mais recentes foi contra o BetterBank, conforme relatado pelo Cryptopolitan trac Tais ataques levantam suspeitas de trabalho interno ou código malicioso injetado na Web3 por hackers da RPDC.
BunniXYZ atacou no pico
BunniXYZ é uma DEX que utiliza Ethereum e Unichain. O novo mercado também utiliza a tecnologia Uniswap V4 para criar cofres e mercados especiais com regras de negociação mais complexas.
Assim como em outros mercados, o BunniXYZ foi atacado logo após atingir um pico local de valor bloqueado. No final de agosto, a corretora tinha até US$ 60 milhões em seus cofres. O mercado ainda era relativamente pequeno, após seu lançamento em fevereiro e sua conquista entre os novos protocolos DeFi .
Agosto também foi um dos meses de maior sucesso para a DEX, com mais de US$ 1 bilhão em volumes. A corretora estava especificamente construindo liquidez para rehipotecas , evitando liquidações durante quedas do mercado. A liquidez da DEX também estava vinculada ao Protocolo Euler para renda passiva.
BunniXYZ aproveitou os volumes expandidos do Uniswap V4, já que o protocolo atraiu mais de US$ 393 milhões para seus cofres no Ethereum e US$ 298 milhões no Unichain.
Hacker explorou cálculo de liquidez do BunniXYZ
A análise pós-hack mostrou que o BunniXYZ era vulnerável devido ao seutracespecífico de recálculo de liquidez. A DEX é um gancho de liquidez, utilizando a tecnologia Uniswap V4. No entanto, em vez de utilizar o cálculo de liquidez do Uniswap, o BunniXYZ recalcula a Função de Distribuição de Liquidez.
O invasor descobriu que a Função de Distribuição de Liquidez podia ser interrompida em negociações de tamanhos específicos. Isso significava que o contrato inteligente trac mais tokens do pool de liquidez do que realmente possuía, acabando por drenar a exchange. O invasor teve que repetir várias transações para finalmente acumular US$ 2,3 milhões e, em seguida, trocá-los por ETH. Ele então depositou o ETH na Aave , mantendo US$ 1,33 milhão em AethUSDC e US$ 1 milhão em AethUSDT, com base no saldo final da carteira
A BunniXYZ já passou por auditorias anteriores, mas o bug do LDF pode ter chegado com uma versão posterior da corretora. A causa mais provável é um bug de precisão, que exigiu que o hacker realizasse várias transações para acumular um saldo maior com base no recálculo incorreto.
Ganhe até US$ 30.050 em recompensas comerciais ao se inscrever na Bybit hoje
Artigos Recomendados
