Exchange descentralizada Bunni desliga após exploração de empréstimo flash de US$ 8,4 milhões

Troca descentralizada Bunni anunciou que está fechando permanentemente após um hack de US$ 8,4 milhões no mês passado, com os fundadores dizendo que não têm o capital necessário para um relançamento seguro que custaria de seis a sete dígitos apenas em despesas de auditoria e monitoramento.

Coelho anunciado o desligamento permanente na quarta-feira, citando custos de recuperação intransponíveis após o ataque que explorou a função de densidade de liquidez da plataforma em dois pools, weETH/ETH no Unichain e USDC/USDT no Ethereum.

O ataque drenou aproximadamente US$ 8,4 milhões no total dos dois pools, de acordo com o relatório post-mortem de Bunni. Os fundos roubados foram transferidos para Ethereum após a exploração.

“Também seriam necessários meses de desenvolvimento e esforço de BD apenas para levar Bunni de volta ao ponto em que estava antes da exploração, o que não podemos permitir”, tuitou o DEX. “Assim, decidimos que é melhor encerrar Bunni.”

Os usuários podem continuar sacando fundos através do site enquanto a equipe finaliza o processo legal de distribuição do tesouro, excluindo seus próprios membros do pagamento, disse o comunicado.

“Este hack mostra à indústria, em termos inequívocos, que a lógica de liquidez personalizada precisa de testes exaustivos, à medida que os empréstimos instantâneos introduzem explorações de baixo risco”, disse Kadan Stadelmann, diretor de tecnologia da Komodo Platform. Descriptografar.

“A exploração consistiu em três etapas: troca com fundos emprestados, um grande número de pequenas retiradas e, em seguida, um ataque sanduíche”, observou o DEX no relatório post-mortem.

Os empréstimos instantâneos permitem emprestar grandes quantias sem garantia em uma única transação, enquanto os ataques sanduíche lucram com a manipulação artificial de preços em torno de negociações-alvo.

O invasor primeiro pegou emprestado 3M USDT e depois fez várias trocas de USDT para USDCe o preço à vista do pool foi empurrado para 5.000, correspondendo a 1 USDC = 1,68 USDT, observou o relatório.

“O uso de empréstimos flash pelo invasor é notável do ponto de vista AML. Os empréstimos flash permitem que os atores acessem grandes quantidades de liquidez sem garantia e paguem em uma única transação”, disse Dmitry Machikhin, CEO da BitOK. Descriptografar.

“Após o hack, é altamente provável que os rendimentos tenham sido distribuídos em múltiplas cadeias para distanciá-los de sua origem ilícita”, acrescentou.

A bolsa confirmou que planeja distribuir os ativos do tesouro restantes aos titulares de BUNNI, LIT e veBUNNI com base em um instantâneo, aguardando validação legal.

“Os contratos inteligentes Bunni v2 foram relicenciados do BUSL para o MIT, permitindo que todos utilizem nossas inovações, como LDFs, taxas de aumento e reequilíbrio autônomo”, observou a equipe, acrescentando que espera que suas contribuições tecnológicas beneficiem o ecossistema DeFi mais amplo.

Bunni observou que está trabalhando com as autoridades para recuperar ativos e enviou uma mensagem na rede oferecendo ao invasor 10% dos fundos roubados se o restante for devolvido, uma oferta que ficou sem resposta.

A violação de Bunni se soma à crescente crise de segurança criptográfica de 2025, com hackers roubando mais de US$ 2 bilhões em ativos digitais este ano, de acordo com a empresa de análise de blockchain Elliptic.

Os hackers ligados à Coreia do Norte são responsáveis ​​pela maioria dessas perdas, marcando o maior total anual já registado.