Un intercambio descentralizado construido con tecnología Uniswap V4 anunció que cerrará permanentemente después de que una brecha de seguridad de $8.4 millones drenó sus reservas, con el equipo de desarrollo diciendo que carece de los fondos necesarios para relanzar. Bunni DEX informó a los usuarios que pueden retirar sus activos restantes, pero el tesoro de la plataforma se dividirá entre los poseedores de tokens mientras la empresa cesa operaciones.
Qué saber:
- Los hackers explotaron el sistema de liquidez personalizado de Bunni DEX el 2 de septiembre usando préstamos rápidos para manipular cálculos, drenando fondos a través de las redes Ethereum y Unichain a pesar de auditorías de seguridad previas.
- El valor total bloqueado de la plataforma había aumentado de $2.2 millones a casi $80 millones antes de que el ataque eliminara meses de crecimiento en segundos.
- El cierre se suma a un año problemático para las finanzas descentralizadas, con más de $3.1 mil millones perdidos en exploit en 2025 según la firma de seguridad Hacken.
Detalles del exploit y consecuencias financieras
La brecha se dirigió a la Función de Distribución de Liquidez de Bunni, un mecanismo propietario que el equipo desarrolló para optimizar la liquidez de negociación. Los atacantes usaron préstamos rápidos—préstamos temporales y no colateralizados que deben ser reembolsados dentro de la misma transacción de blockchain—para manipular los cálculos internos de la plataforma. Esto provocó errores de redondeo que permitieron a los hackers extraer fondos sistemáticamente.
Tanto Trail of Bits como Cyfrin realizaron auditorías de seguridad en el código de Bunni antes del ataque. Sin embargo, la vulnerabilidad a nivel lógico no fue detectada por ambas firmas.
El equipo detuvo todos los contratos inteligentes inmediatamente después de descubrir la brecha.
Publicaron en X que relanzar la plataforma requeriría cifras de seis a siete ceros para auditorías completas y sistemas de monitoreo. "Para relanzar de manera segura, necesitaríamos cifras de seis a siete ceros para auditorías y monitoreo, capital que simplemente no tenemos", escribió el equipo.
El tesoro de Bunni se distribuirá entre los poseedores de los tokens BUNNI, LIT y veBUNNI. El equipo de desarrollo dijo que se excluirá de cualquier pago de compensación. Se dijo a los usuarios que retiraran sus activos restantes "hasta nuevo aviso".
Antes de cerrar, el equipo cambió la licencia de sus contratos inteligentes de la versión 2 de Business Source License a MIT. Esto abre la tecnología de la plataforma—incluyendo funciones de distribución de liquidez, tarifas de aumento y características de reequilibrio autónomo—a otros desarrolladores.
Implicaciones de la industria y preocupaciones de seguridad
El colapso de la plataforma subraya las vulnerabilidades persistentes en los protocolos de finanzas descentralizadas. Bunni había experimentado un rápido crecimiento en los meses antes del ataque, con datos de DeFiLlama mostrando que su valor total bloqueado subió de $2.2 millones a casi $80 millones. La brecha eliminó ese progreso en segundos.
Los ataques de préstamos rápidos se han convertido en un problema recurrente en las finanzas descentralizadas. Estos exploit aprovechan el hecho de que las transacciones blockchain se ejecutan de forma atómica—lo que significa que todas las operaciones dentro de una transacción completan con éxito o fallan por completo. Los atacantes piden prestadas grandes sumas, manipulan precios o cálculos, se benefician de la manipulación, reembolsan el préstamo y se quedan con la diferencia, todo dentro de una sola transacción.
La pérdida de $8.4 millones en Bunni representa una fracción del daño observado en el sector de finanzas descentralizadas este año.
Los investigadores de seguridad en Hacken informaron de más de $3.1 mil millones en pérdidas totales por exploit en 2025.
El incidente puede motivar a los desarrolladores a reconsiderar cómo implementan la lógica personalizada de los contratos inteligentes. Los observadores de la industria sugieren que las plataformas probablemente aumentarán el gasto en auditorías de seguridad, implementarán sistemas de monitoreo en tiempo real y expandirán programas de recompensas por fallas que pagan a los investigadores por identificar vulnerabilidades antes de que los atacantes puedan explotarlas.
Términos clave en las finanzas descentralizadas
El valor total bloqueado se refiere a la cantidad de criptomonedas depositadas en un protocolo de finanzas descentralizadas, sirviendo como una medida del tamaño de la plataforma y la confianza del usuario. Los préstamos rápidos son préstamos no colateralizados que deben ser tomados prestados y reembolsados dentro de la misma transacción de blockchain, típicamente utilizados para arbitraje pero también explotados por atacantes. Los contratos inteligentes son programas autoejecutables en blockchains que aplican automáticamente los términos de un acuerdo sin intermediarios.
Las funciones de distribución de liquidez gestionan cómo se asigna la liquidez de negociación a través de diferentes rangos de precios en un intercambio descentralizado, con el objetivo de mejorar la eficiencia del capital tanto para los traders como para los proveedores de liquidez.
Reflexiones finales
El cierre de Bunni DEX ilustra los desafíos financieros y técnicos que enfrentan las plataformas de finanzas descentralizadas después de grandes brechas de seguridad. La decisión del equipo de abrir el código de su tecnología antes de cerrar puede permitir a otros desarrolladores aprender de las vulnerabilidades de la plataforma mientras construyen proyectos futuros.