Exchange descentralizada BunniXYZ perde US$ 8,4 milhões em ataque hacker

A DEX BunniXYZ disse que pausou todas as atividades de contratos inteligentes em sua rede e está “investigando ativamente” o ataque hacker

Rodrigo Tolotti

02 set, 2025 10:01

A exchange descentralizada (DEX) BunniXYZ teria perdido US$ 8,4 milhões em um ataque hacker de exploração de segurança baseada em liquidez.

De acordo com a empresa de segurança on-chain Hacken, US$ 6 milhões dos fundos da DEX foram roubados através da blockchain Unichain e US$ 2,4 milhões através da Ethereum. Todos os fundos da Unichain foram então transferidos para a Ethereum usando o Protocolo Across.

Confirmando o ataque em um tuíte, a BunniXYZ afirmou que havia pausado todas as atividades de contratos inteligentes em sua rede e estava “investigando ativamente” as circunstâncias do ataque. Acrescentou que forneceria atualizações em breve.

? The Bunni app has been affected by a security exploit. As a precaution, we have paused all smart contract functions on all networks. Our team is actively investigating and will provide updates soon. Thank you for your patience.
— Bunni (@bunni_xyz) September 2, 2025

Fundada em fevereiro de 2025, a BunniXYZ é baseada no criador de mercado automatizado Uniswap v4 e utiliza principalmente as blockchains Ethereum e Unichain. Atualmente, o valor total bloqueado (TVL) entre blockchains é de pouco mais de US$ 50 milhões, de acordo com o DeFiLlama, embora tenha ultrapassado US$ 80 milhões em determinado momento no início de agosto.

Michael Bentley, cofundador do protocolo de empréstimos Euler, aconselhou os usuários a removerem seus fundos do Bunni em um tuíte, acrescentando que, embora a DEX rebalanceie os fundos que entram e saem do Euler, o protocolo de empréstimos “não é afetado nem corre risco”. O Euler sofreu uma grande exploração em 2023, na qual hackers roubaram quase US$ 200 milhões, a maior parte dos quais foi recuperada posteriormente.

O que aconteceu?

De acordo com o analista on-chain Victor Tran, cofundador da Kyber Network, os hackers manipularam a “curva de liquidez” do Bunni, também conhecida como LDF (Função de Densidade de Liquidez). Este é o sistema que calcula quanta liquidez extra existe na exchange e rebalanceia seu pool de liquidez para manter a proporção correta de tokens.

1. Bunni is a liquidity hook that runs on top of UniswapV4. Instead of using UniswapV4’s normal system, Bunni has its own liquidity curve called LDF (Liquidity Distribution Function).

2. After each trade, Bunni checks if its LDF curve has changed since the last trade. If it has,… https://t.co/uCSWXyuAt2
— Victor Tran (@vutran54) September 2, 2025

Tran disse que os hackers manipularam esse LDF “fazendo transações de tamanhos muito específicos”. Isso causou a falha do cálculo de rebalanceamento, produzindo resultados incorretos sobre a quantidade que cada ação do pool de liquidez deveria possuir.

Ao repetir esse processo, os hackers supostamente retiraram mais tokens do que deveriam da Bunni.

A própria Bunni ainda não confirmou o mecanismo por trás do ataque.

* Traduzido e editado com autorização do Decrypt.

No MB, a sua indicação vale Bitcoin para você e seus amigos. Para cada amigo que abrir uma conta e investir, vocês ganham recompensas exclusivas. Saiba mais!