Uma exchange descentralizada construída sobre a tecnologia Uniswap V4 anunciou que irá fechar permanentemente após uma violação de segurança de $8,4 milhões esgotar suas reservas. A equipe de desenvolvimento afirmou que não possui os fundos necessários para relançar. A Bunni DEX comunicou aos usuários que podem retirar os ativos restantes, mas o tesouro da plataforma será dividido entre os detentores de tokens enquanto a empresa encerra suas operações.
O que Saber:
- Hackers exploraram o sistema de liquidez personalizado da Bunni DEX em 2 de setembro usando empréstimos relâmpago para manipular cálculos e drenar fundos das redes Ethereum e Unichain, apesar de auditorias de segurança anteriores.
- O valor total bloqueado da plataforma havia disparado de $2,2 milhões para quase $80 milhões antes do ataque, que eliminou meses de crescimento em segundos.
- O fechamento contribui para um ano preocupante para as finanças descentralizadas, com mais de $3,1 bilhões perdidos em explorações em 2025, de acordo com a empresa de segurança Hacken.
Detalhes da Exploração e Impacto Financeiro
A falha visou a Função de Distribuição de Liquidez da Bunni, um mecanismo proprietário desenvolvido pela equipe para otimizar a liquidez de negociação. Os atacantes usaram empréstimos relâmpago—empréstimos temporários e não garantidos que devem ser pagos na mesma transação blockchain—para manipular os cálculos internos da plataforma, resultando em erros de arredondamento que permitiram a extração sistemática de fundos.
Tanto a Trail of Bits quanto a Cyfrin realizaram auditorias de segurança no código da Bunni antes do ataque. No entanto, a vulnerabilidade em nível de lógica não foi detectada por nenhuma das empresas.
A equipe interrompeu todos os contratos inteligentes imediatamente após descobrir a violação.
Eles postaram no X que o relançamento da plataforma exigiria seis a sete dígitos para auditorias abrangentes e sistemas de monitoramento. "Para relançar com segurança, precisaríamos de seis a sete dígitos para auditorias e monitoramento, capital que simplesmente não temos", escreveu a equipe.
O tesouro da Bunni será distribuído entre os detentores de tokens BUNNI, LIT e veBUNNI. A equipe de desenvolvimento afirmou que se excluirá de quaisquer pagamentos de compensação. Os usuários foram instruídos a retirar seus ativos restantes "até novo aviso."
Antes de encerrar, a equipe relicenciou seus contratos inteligentes da versão 2 de License Business Source para MIT, abrindo a tecnologia da plataforma —incluindo funções de distribuição de liquidez, taxas de surto e recursos de reequilíbrio autônomo— para outros desenvolvedores.
Implicações da Indústria e Preocupações de Segurança
O colapso da plataforma sublinha vulnerabilidades persistentes nos protocolos de finanças descentralizadas. A Bunni havia experimentado um rápido crescimento nos meses anteriores ao ataque, com dados do DeFiLlama mostrando seu valor total bloqueado subindo de $2,2 milhões para quase $80 milhões. A violação eliminou esse progresso em segundos.
Os ataques de empréstimos relâmpago tornaram-se um problema recorrente nas finanças descentralizadas. Essas explorações aproveitam o fato de que as transações em blockchain são executadas atomicamente—ou todas as operações dentro de uma transação são bem-sucedidas ou falham completamente. Os atacantes emprestam grandes somas, manipulam preços ou cálculos, lucram com a manipulação, reembolsam o empréstimo e embolsam a diferença, tudo dentro de uma única transação.
A perda de $8,4 milhões na Bunni representa uma fração do dano visto no setor de finanças descentralizadas este ano.
Pesquisadores de segurança da Hacken relataram mais de $3,1 bilhões em perdas totais devido a explorações em 2025.
O incidente pode levar os desenvolvedores a reconsiderarem como implantam a lógica personalizada de contratos inteligentes. Observadores da indústria sugerem que as plataformas provavelmente aumentarão os gastos com auditorias de segurança, implementarão sistemas de monitoramento em tempo real e expandirão programas de recompensas por bugs que pagam pesquisadores para identificar vulnerabilidades antes que os atacantes possam explorá-las.
Termos Chave nas Finanças Descentralizadas
Valor total bloqueado refere-se à quantidade de criptomoeda depositada em um protocolo de finanças descentralizadas, servindo como uma medida do tamanho da plataforma e da confiança dos usuários. Empréstimos relâmpago são empréstimos não garantidos que devem ser emprestados e pagos dentro da mesma transação blockchain, tipicamente usados para arbitragem, mas também explorados por atacantes. Contratos inteligentes são programas autoexecutáveis em blockchains que aplicam automaticamente termos de acordo sem intermediários.
Funções de distribuição de liquidez gerenciam como a liquidez de negociação é alocada em diferentes faixas de preço em uma exchange descentralizada, visando melhorar a eficiência de capital tanto para traders quanto para provedores de liquidez.
Reflexões Finais
O fechamento do Bunni DEX ilustra os desafios financeiros e técnicos enfrentados pelas plataformas de finanças descentralizadas após grandes violações de segurança. A decisão da equipe de abrir o código de sua tecnologia antes de fechar pode permitir que outros desenvolvedores aprendam com as vulnerabilidades da plataforma ao construírem futuros projetos.