Bunni DEX sufre una pérdida de $2.4 millones tras un ataque de rebalanceo de liquidez

• El exploit en Bunni DEX drenó 2,4 millones de dólares al atacar la lógica de liquidez mediante hooks de Uniswap v4.
• Los atacantes utilizaron operaciones de tamaños precisos para romper los cálculos y drenar stablecoins.
• Los hacks cripto aumentaron a 163 millones de dólares en agosto, mostrando amenazas cambiantes en los mercados digitales.

El exchange descentralizado Bunni perdió aproximadamente 2,4 millones de dólares después de que atacantes explotaran vulnerabilidades en sus smart contracts basados en Ethereum. Datos onchain de varias firmas de seguridad Web3 confirmaron la pérdida de stablecoins USDC y USDT. El ataque manipuló la lógica de distribución de liquidez de Bunni, drenando fondos hacia una dirección que contenía 1,33 millones de dólares en USDC y 1,04 millones de dólares en USDT. Aprovecharon debilidades en la Liquidity Distribution Function (LDF), una función diseñada para optimizar la liquidez a través de diferentes rangos de precios.

El colaborador principal de Bunni, @Psaul26ix, instó a los usuarios a retirar sus fondos. “Si tenés dinero en Bunni, sacalo lo antes posible”, publicó. Esta advertencia siguió a la preocupación de que los atacantes pudieran seguir drenando activos si la liquidez permanecía en pools vulnerables.

Más tarde, Bunni confirmó la brecha en un comunicado en X. “La app de Bunni ha sido afectada por un exploit de seguridad”, anunció el equipo. Agregaron que todas las funciones de smart contracts en todas las redes fueron pausadas como medida de precaución.

Hooks y la Superficie de Ataque en Expansión

Bunni opera sobre el sistema de hooks de Uniswap v4. El CEO de Uniswap Labs, Hayden Adams, describió los hooks como “plugins para personalizar cómo interactúan los pools, swaps, comisiones y posiciones de LP”. Esta función permite a los protocolos agregar funcionalidades únicas sobre la infraestructura de Uniswap.

Aunque Uniswap v4 incluye funciones avanzadas como flash accounting, arquitectura singleton y soporte nativo para ETH, los hooks crean nuevos puntos de ataque. El exploit de Bunni demostró cómo la personalización, aunque poderosa, puede aumentar el riesgo cuando los mecanismos no se prueban exhaustivamente.

El cofundador de KyberNetwork, Victor Tran, detalló cómo funcionó el exploit. “El atacante descubrió que podía manipular esta LDF realizando operaciones de tamaños muy específicos”, escribió en X. Tran explicó que estas operaciones rompían el cálculo de rebalanceo, produciendo resultados incorrectos para las participaciones de los proveedores de liquidez.

El atacante repitió el exploit varias veces sin activar alarmas inmediatas, drenando millones de manera gradual. Esto demostró cómo las vulnerabilidades en la lógica personalizada pueden permitir ataques sigilosos que evaden los sistemas de detección estándar.

Preocupaciones de Seguridad Más Amplias en DeFi

Las funciones de liquidez de Bunni operan a través de Euler Finance, que es un acuerdo de préstamos y créditos que también construye productos financieros. Tras el ataque, el fundador de Euler, Michael Bentley, explicó que Bunni enruta liquidez hacia y desde Euler en ocasiones, pero que Euler en sí no fue afectado. Su explicación sirvió para responder a las preocupaciones sobre un posible contagio mayor.   

Uno de los mayores atractivos de los lanzamientos DeFi más recientes es la incorporación de funciones avanzadas como el rebalanceo automatizado, estructuras de comisiones flexibles y disponibilidad instantánea de capital. Pero estas innovaciones a menudo introducen nuevas vulnerabilidades, ya que rara vez se prueban bajo escenarios de ataque del mundo real. 

Relacionado: Los hacks cripto alcanzaron los 163 millones de dólares en agosto mientras los ataques aumentan un 15%

Para abordar estos riesgos, los expertos en seguridad enfatizan la importancia de medidas preventivas. Las prácticas recomendadas incluyen auditorías formales, simulaciones adversariales, implementaciones con retraso temporal y programas de recompensas por bugs bien financiados. Estas medidas, señalan los expertos, son críticas para los hooks y otras funciones que alteran la contabilidad de activos.

El incidente de Bunni también se enmarca en una tendencia más amplia. Según PeckShield, los hackers robaron más de 163 millones de dólares en 16 incidentes en agosto, lo que representa un aumento del 15% respecto a los 142 millones de dólares de julio. Aunque los robos siguen siendo un 47% menores en comparación interanual, los atacantes parecen estar cambiando de estrategia.