Exchange descentralizada BunniXYZ perde US$ 8,4 milhões em exploit de liquidez

A exchange descentralizada (DEX) BunniXYZ teria perdido US$ 8,4 milhões devido a uma exploração de segurança baseada em liquidez.

De acordo com a empresa de segurança on-chain Hacken, US$ 6 milhões dos fundos da DEX foram roubados via blockchain Unichain e US$ 2,4 milhões via Ethereum. Todos os fundos da Unichain foram então transferidos para Ethereum usando o Across Protocol.

Confirmando o ataque em um tweet, a BunniXYZ afirmou que pausou toda a atividade de smart contract em sua rede e está “investigando ativamente” as circunstâncias do ataque. Acrescentou que fornecerá atualizações em breve.

Fundada em fevereiro de 2025, a BunniXYZ é baseada no automated market maker Uniswap v4, e utiliza principalmente as blockchains Ethereum e Unichain. Atualmente, possui um Total Value Locked (TVL) cross-chain de pouco mais de US$ 50 milhões, de acordo com a DeFiLlama, embora tenha ultrapassado US$ 80 milhões em um momento no início de agosto.

Michael Bentley, cofundador do protocolo de empréstimo Euler, aconselhou os usuários a removerem seus fundos da Bunni em um tweet, acrescentando que, embora a DEX rebalanceie fundos dentro e fora do Euler, o protocolo de empréstimo “não foi afetado nem está em risco”. O Euler sofreu uma grande exploração em 2023, quando hackers roubaram quase US$ 200 milhões, a maior parte dos quais foi posteriormente recuperada.

O que aconteceu?

De acordo com o analista on-chain Victor Tran, cofundador da Kyber Network, hackers manipularam a “curva de liquidez” da Bunni, também conhecida como LDF (Liquidity Density Function). Este é o sistema que calcula quanto de liquidez extra existe dentro da exchange e reequilibra seu pool de liquidez para manter a proporção correta de tokens.

Tran disse que os hackers manipularam esse LDF “realizando negociações de tamanhos muito específicos”. Isso fez com que o cálculo de reequilíbrio falhasse, produzindo resultados incorretos sobre quanto cada participação no pool de liquidez deveria possuir.

Ao repetir esse processo, os hackers supostamente retiraram mais tokens do que deveriam ser capazes de retirar da Bunni.

A própria Bunni ainda não confirmou o mecanismo por trás do ataque.