Un intercambio descentralizado que había crecido rápidamente para gestionar casi $80 millones en activos bloqueados anunció su cierre permanente esta semana, convirtiéndose en el segundo proyecto criptográfico importante en cesar operaciones dentro de 48 horas, a medida que las presiones financieras y las vulnerabilidades de seguridad continúan afectando al sector de activos digitales.
Bunni, un intercambio descentralizado construido sobre la tecnología Uniswap V4, confirmó el miércoles que no puede afrontar los costos de seis a siete cifras necesarios para relanzar la plataforma de manera segura tras un devastador exploict del 2 de septiembre que drenó $8.4 millones de los fondos de liquidez a través de las redes Ethereum y la capa-2 de Unichain de Uniswap.
Vulnerabilidad de distribución de liquidez explotada
El ataque se dirigió a un fallo crítico en la Función de Distribución de Liquidez propietaria de Bunni, un mecanismo diseñado para optimizar los retornos para los proveedores de liquidez al asignar capital de forma dinámica en diferentes rangos de precios. Las firmas de seguridad CertiK y Halborn rastrearon el exploit hasta errores de redondeo sofisticados que permitieron a los atacantes manipular cálculos internos a través de ataques de préstamos flash.
El análisis post-mortem de Halborn reveló que la vulnerabilidad surgió de una consecuencia inesperada en la función de retirada del protocolo. Los desarrolladores habían asumido incorrectamente que redondear un valor clave hacia abajo aumentaría los saldos inactivos, pero ocurrió lo contrario, permitiendo a los atacantes retirar cantidades desproporcionadas de tokens mientras se quemaba una mínima cantidad de liquidez.
Los hackers ejecutaron operaciones cuidadosamente calibradas utilizando cantidades específicas que confundieron los cálculos de reequilibrio de Bunni, drenando gradualmente aproximadamente $2.4 millones de Ethereum y $6 millones de Unichain antes de consolidar los activos robados, principalmente stablecoins USDC y USDT, en carteras de Ethereum.
Ascenso meteórico truncado
El cierre representa un giro dramático para una plataforma que había experimentado un crecimiento explosivo en los meses anteriores al ataque. Según datos de DeFiLlama, el valor total bloqueado de Bunni se disparó de solo $2.23 millones a mediados de junio de 2025 a casi $80 millones para el 19 de agosto, un aumento de 35 veces que destacó el fuerte apetito del mercado por su tecnología innovadora de creador de mercado automatizado.
La plataforma había sido objeto de auditorías de seguridad por empresas respetadas, incluidas Trail of Bits y Cyfrin.
Sin embargo, sigue siendo incierto si la vulnerabilidad explotada fue identificada en esas revisiones o introducida a través de cambios posteriores en el código, un riesgo común en los protocolos DeFi en rápida evolución, donde los equipos actualizan frenéticamente los contratos inteligentes para agregar características o optimizar el rendimiento.
Costos de recuperación prohibitivos
En su anuncio de cierre, el equipo de Bunni explicó que relanzar operaciones de manera segura requeriría una inversión sustancial en auditorías de seguridad comprensivas, infraestructura de monitoreo continuo, y meses de trabajo en desarrollo empresarial para reconstruir la confianza de los usuarios y restaurar la liquidez.
"El reciente exploit ha obligado a detener el crecimiento de Bunni, y para relanzar de manera segura, necesitaríamos pagar entre 6-7 cifras solo en gastos de auditoría y monitoreo, lo que requiere de capital que simplemente no tenemos," el equipo declaró en su post en X. "Es con corazones apesadumbrados que anunciamos el cierre de Bunni."
Según el informe post-mortem de Bunni, los activos robados ya han sido lavados a través de Tornado Cash, complicando significativamente los esfuerzos de recuperación. El equipo ofreció a los atacantes una recompensa del 10% para devolver los fondos restantes mientras continúa cooperando con las agencias de aplicación de la ley.
Retiros de fondos de usuarios y distribución del tesoro
A pesar del cierre, Bunni confirmó que los usuarios aún pueden retirar sus activos restantes a través del sitio web oficial hasta nuevo aviso. El proyecto planea distribuir los fondos restantes del tesoro a los poseedores de tokens BUNNI, LIT y veBUNNI basándose en una instantánea que excluirá a los miembros del equipo, asegurando que los miembros de la comunidad, en lugar de los internos, reciban cualquier valor residual.
En un gesto final hacia el ecosistema DeFi en general, Bunni relicenció sus contratos inteligentes V2 de la licencia restrictiva Business Source License a la permisiva licencia open-source MIT.
Esta decisión hace que las innovaciones de la plataforma, incluyendo las Funciones de Distribución de Liquidez, tarifas de aumento y mecanismos autónomos de reequilibrio, estén disponibles libremente para que otros desarrolladores las integren y desarrollen sobre ellas.
Segunda clausura de DeFi en 48 horas
El cierre de Bunni ocurrió solo un día después de que otra salida significativa del proyecto sacudiera el sector de criptomonedas. La Fundación Kadena anunció el martes que cesaría inmediatamente todas las operaciones comerciales y detendría el mantenimiento de la red blockchain Kadena, citando condiciones de mercado adversas que hicieron insostenible el desarrollo continuo.
Fundada por antiguos ingenieros de blockchain de JPMorgan, Stuart Popejoy y Will Martino, Kadena se lanzó en 2019 como una alternativa de proof-of-work a Ethereum, prometiendo escalabilidad a nivel empresarial a través de una arquitectura multichain "trenzada" única. En su máximo de noviembre de 2021, KDA se negociaba por encima de $27 y el proyecto alcanzó una valoración de más de $4 mil millones.
Sin embargo, el token nativo KDA se desplomó más de un 60% -desde aproximadamente $0.23 a menos de $0.10- dentro de 90 minutos del anuncio del cierre, borrando casi $268 millones en capitalización de mercado. El token ahora ha caído más del 99% desde su máximo histórico, cotizando cerca de $0.085 al momento de la publicación.
Mientras que la blockchain de Kadena continuará operando a través de mineros independientes y desarrolladores de la comunidad -con 566 millones de KDA restantes asignados para recompensas de minería hasta 2139- la pérdida del equipo de desarrollo central efectivamente deja incierto el futuro de la red.
Crisis de seguridad más amplia
Las clausuras consecutivas subrayan las presiones crecientes que enfrentan los proyectos de blockchain más pequeños en medio de condiciones de mercado desafiantes y amenazas de seguridad persistentes. El ataque a Bunni encaja en un patrón alarmante de exploits en DeFi, con agosto de 2025 presenciando más de $163 millones robados en 16 incidentes separados: un aumento del 15% con respecto al mes anterior.
La industria de las criptomonedas ha perdido más de $300 millones por hacks y estafas en los últimos dos meses, con el sector DeFi soportando pérdidas desproporcionadas. Los expertos en seguridad señalan que los atacantes se están volviendo cada vez más sofisticados, a menudo apuntando a protocolos más nuevos con mecanismos personalizados complejos que crean superficies de ataque ausentes en implementaciones estándar probadas en batalla.
Para el ecosistema DeFi en general, estos cierres sirven como recordatorios sobrios de que la innovación técnica por sí sola no puede garantizar la supervivencia. Los proyectos deben equilibrar el desarrollo de características ambiciosas con prácticas de seguridad rigurosas, mantener reservas financieras adecuadas para crisis inesperadas y navegar en un panorama cada vez más competitivo donde la confianza de los usuarios, una vez perdida, resulta extraordinariamente difícil de recuperar.