Un exchange decentralizzato costruito sulla tecnologia Uniswap V4 ha annunciato che chiuderà definitivamente dopo che una violazione di sicurezza da $8,4 milioni ha prosciugato le sue riserve, con il team di sviluppo che ha detto di non avere fondi sufficienti per il rilancio. Bunni DEX ha comunicato agli utenti che possono ritirare i beni rimanenti, ma il tesoro della piattaforma sarà diviso tra i detentori di token mentre la società termina le operazioni.
Cosa sapere:
- Gli hacker hanno sfruttato il sistema di liquidità personalizzato di Bunni DEX il 2 settembre utilizzando prestiti lampo per manipolare calcoli, prosciugando fondi attraverso le reti Ethereum e Unichain nonostante precedenti audit di sicurezza.
- Il valore totale bloccato della piattaforma era passato da $2,2 milioni a quasi $80 milioni prima che l'attacco spazzasse via mesi di crescita in pochi secondi.
- La chiusura si aggiunge a un anno preoccupante per la finanza decentralizzata, con perdite superiori a $3,1 miliardi a causa di exploit nel 2025, secondo la società di sicurezza Hacken.
Dettagli dell'exploit e conseguenze finanziarie
La violazione ha preso di mira la Funzione di Distribuzione della Liquidità di Bunni, un meccanismo proprietario sviluppato per ottimizzare la liquidità commerciale. Gli aggressori hanno utilizzato prestiti lampo—prestiti temporanei senza garanzie che devono essere rimborsati nella stessa transazione blockchain—per manipolare i calcoli interni della piattaforma. Questo ha innescato errori di arrotondamento che hanno permesso agli hacker di estrarre fondi in modo sistematico.
Sia Trail of Bits che Cyfrin avevano condotto audit di sicurezza sul codice di Bunni prima dell'attacco. Tuttavia, la vulnerabilità a livello logico è passata inosservata da entrambe le aziende.
Il team ha bloccato immediatamente tutti i contratti intelligenti dopo aver scoperto la violazione.
Hanno pubblicato su X che il rilancio della piattaforma richiederebbe da sei a sette cifre per audit completi e sistemi di monitoraggio. "Per rilanciare in sicurezza, avremmo bisogno di sei-sette cifre per audit e monitoraggio, capitale che semplicemente non abbiamo," ha scritto il team.
Il tesoro di Bunni sarà distribuito tra i detentori di token BUNNI, LIT e veBUNNI. Il team di sviluppo ha dichiarato che si escluderà da eventuali pagamenti di compensazione. Agli utenti è stato detto di ritirare i beni rimanenti "fino a nuovo avviso."
Prima di chiudere, il team ha ribasato i suoi contratti intelligenti di versione 2 su licenza MIT da Business Source License. Ciò apre la tecnologia della piattaforma—inclusi le funzioni di distribuzione della liquidità, le tasse di salto e le funzionalità di ribilanciamento autonomo—ad altri sviluppatori.
Implicazioni per l'industria e preoccupazioni di sicurezza
Il crollo della piattaforma sottolinea le vulnerabilità persistenti nei protocolli di finanza decentralizzata. Bunni aveva registrato una rapida crescita nei mesi prima dell'attacco, con dati da DeFiLlama che mostrano il valore totale bloccato passare da $2,2 milioni a quasi $80 milioni. La violazione ha eliminato quei progressi in pochi secondi.
Gli attacchi con prestiti lampo sono diventati un problema ricorrente nella finanza decentralizzata. Questi exploit sfruttano il fatto che le transazioni blockchain si eseguono atomicamente—significando che tutte le operazioni all'interno di una transazione o completano con successo o falliscono completamente. Gli aggressori prendono in prestito grandi somme, manipolano i prezzi o i calcoli, traggono profitto dalla manipolazione, rimborsano il prestito e intascano la differenza, tutto all'interno di una singola transazione.
La perdita da $8,4 milioni a Bunni rappresenta una frazione dei danni visti nel settore della finanza decentralizzata quest'anno.
I ricercatori di sicurezza di Hacken hanno riportato più di $3,1 miliardi in perdite totali da exploit nel 2025.
L'incidente potrebbe spingere gli sviluppatori a ripensare come distribuiscono la logica dei contratti intelligenti personalizzati. Gli osservatori del settore suggeriscono che le piattaforme probabilmente aumenteranno la spesa per audit di sicurezza, implementeranno sistemi di monitoraggio in tempo reale, ed espanderanno programmi di bug bounty che pagano i ricercatori per identificare vulnerabilità prima che gli attaccanti possano sfruttarle.
Termini Chiave nella Finanza Decentralizzata
Il valore totale bloccato si riferisce alla quantità di criptovaluta depositata in un protocollo di finanza decentralizzata, servendo come misura delle dimensioni della piattaforma e della fiducia degli utenti. I prestiti lampo sono prestiti senza garanzie che devono essere presi in prestito e ripagati all'interno della stessa transazione blockchain, tipicamente usati per arbitraggi ma anche sfruttati dagli aggressori. I contratti intelligenti sono programmi autoeseguibili su blockchain che applicano automaticamente i termini di un accordo senza intermediari.
Le funzioni di distribuzione della liquidità gestiscono come la liquidità commerciale è allocata attraverso diverse fasce di prezzo in un exchange decentralizzato, mirando a migliorare l'efficienza del capitale sia per i trader che per i fornitori di liquidità.
Considerazioni Finali
La chiusura di Bunni DEX illustra le sfide finanziarie e tecniche che affrontano le piattaforme di finanza decentralizzata dopo violazioni di sicurezza importanti. La decisione del team di rendere open-source la propria tecnologia prima della chiusura potrebbe permettere ad altri sviluppatori di apprendere dalle vulnerabilità della piattaforma durante la costruzione di progetti futuri.