Uma exchange descentralizada construída na tecnologia Uniswap V4 anunciou que fechará permanentemente após uma violação de segurança de $8,4 milhões drenar suas reservas, com a equipe de desenvolvimento dizendo que falta os fundos necessários para relançar. Bunni DEX informou aos usuários que podem retirar ativos restantes, mas o tesouro da plataforma será dividido entre os detentores de tokens enquanto a empresa encerra operações.
O que Saber:
- Hackers exploraram o sistema de liquidez personalizado da Bunni DEX em 2 de setembro usando empréstimos relâmpago para manipular cálculos, drenando fundos nas redes Ethereum e Unichain apesar de auditorias de segurança anteriores.
- O valor total bloqueado da plataforma tinha disparado de $2,2 milhões para quase $80 milhões antes do ataque, que apagou meses de crescimento em segundos.
- O encerramento soma-se a um ano preocupante para finanças descentralizadas, com mais de $3,1 bilhões perdidos em exploits em 2025, de acordo com a empresa de segurança Hacken.
Detalhes do Exploit e Desdobramentos Financeiros
A violação teve como alvo a Função de Distribuição de Liquidez da Bunni, um mecanismo proprietário desenvolvido pela equipe para otimizar a liquidez de negociação. Os atacantes usaram empréstimos relâmpago—empréstimos temporários sem garantia que devem ser pagos dentro da mesma transação blockchain—para manipular os cálculos internos da plataforma. Isso desencadeou erros de arredondamento que permitiram que os hackers extraíssem os fundos de forma sistemática.
Tanto a Trail of Bits quanto a Cyfrin realizaram auditorias de segurança no código da Bunni antes do ataque. A vulnerabilidade em nível lógico, no entanto, passou despercebida por ambas as empresas.
A equipe interrompeu todos os contratos inteligentes imediatamente após descobrir a violação.
Eles postaram no X que relançar a plataforma exigiria de seis a sete dígitos para auditorias abrangentes e sistemas de monitoramento. "Para relançar com segurança, precisaríamos de seis a sete dígitos para auditorias e monitoramento, capital que simplesmente não temos", escreveu a equipe.
O tesouro da Bunni será distribuído entre os titulares de tokens BUNNI, LIT e veBUNNI. A equipe de desenvolvimento afirmou que se excluiria de quaisquer pagamentos de compensação. Os usuários foram instruídos a retirar seus ativos restantes "até novo aviso".
Antes de encerrar, a equipe relicenciou seus contratos inteligentes da versão 2 de Licença de Fonte Empresarial para MIT. Isso abre a tecnologia da plataforma—incluindo funções de distribuição de liquidez, taxas de impulso e recursos de reequilíbrio autônomo—para outros desenvolvedores.
Implicações na Indústria e Preocupações com Segurança
O colapso da plataforma ressalta vulnerabilidades persistentes em protocolos de finanças descentralizadas. A Bunni havia experimentado um rápido crescimento nos meses anteriores ao ataque, com dados da DeFiLlama mostrando seu valor total bloqueado subindo de $2,2 milhões para quase $80 milhões. A violação eliminou esse progresso em segundos.
Ataques de empréstimo relâmpago têm se tornado um problema recorrente em finanças descentralizadas. Essas explorações aproveitam o fato de que transações em blockchain são executadas de forma atômica—o que significa que todas as operações dentro de uma transação ou são concluídas com sucesso ou falham completamente. Os atacantes tomam empréstimos de grandes quantias, manipulam preços ou cálculos, lucram com a manipulação, quitam o empréstimo e embolsam a diferença, tudo dentro de uma única transação.
A perda de $8,4 milhões na Bunni representa uma fração dos danos observados no setor de finanças descentralizadas este ano.
Pesquisadores de segurança da Hacken relataram perdas totais de mais de $3,1 bilhões em explorações em 2025.
O incidente pode levar desenvolvedores a reconsiderar como implantam a lógica de contratos inteligentes personalizados. Observadores da indústria sugerem que as plataformas provavelmente aumentarão os gastos com auditorias de segurança, implementarão sistemas de monitoramento em tempo real e expandirão programas de recompensas por bugs que pagam pesquisadores para identificar vulnerabilidades antes que os atacantes possam explorá-las.
Termos Chave nas Finanças Descentralizadas
Valor total bloqueado refere-se à quantidade de criptomoeda depositada em um protocolo de finanças descentralizadas, servindo como uma medida do tamanho da plataforma e confiança dos usuários. Empréstimos relâmpago são empréstimos sem garantia que devem ser tomados e pagos dentro da mesma transação blockchain, tipicamente usados para arbitragem, mas também explorados por atacantes. Contratos inteligentes são programas autoexecutáveis em blockchains que aplicam automaticamente os termos de um acordo sem intermediários.
Funções de distribuição de liquidez gerenciam como a liquidez de negociação é alocada em diferentes faixas de preço em uma exchange descentralizada, visando melhorar a eficiência de capital tanto para negociadores quanto para provedores de liquidez.
Considerações Finais
O fechamento da Bunni DEX ilustra os desafios financeiros e técnicos enfrentados por plataformas de finanças descentralizadas após grandes brechas de segurança. A decisão da equipe de abrir sua tecnologia antes de fechar pode permitir que outros desenvolvedores aprendam com as vulnerabilidades da plataforma enquanto constroem projetos futuros.