El exchange de Ethereum BunniXYZ sufre una vulneración de $2,3 millones

El exchange de Ethereum BunniXYZ registró una serie de salidas no autorizadas. Los investigadores on-chaindentel incidente como un ataque informático, con pérdidas de aproximadamente $2.3 millones. 

BunniXYZ, un exchange descentralizado Ethereum , fue víctima de un ataque informático a través de uno de sustracinteligentes. El hacker movió principalmente monedas estables, con una pérdida total de $2.3 millones. 

#CertiKInsight 🚨

Hemos dent un exploit de $2,3 millones en el trac BunniHub de @bunni_xyz . https://t.co/lZB0vzSMQx

El explotador ha exfiltrado fondos a 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b.

¡Permanezca alerta!

— CertiK Alert (@CertiKAlert) 2 de septiembre de 2025

Basándose en el historial de transacciones , el hacker atacó las bóvedas de USDT y USDC, y luego movió los tokens a través del Ethereum , obteniendo una combinación de ETH y monedas estables. En los primeros minutos, el BunniXYZ trac inteligentes .

Poco después del hackeo, el explotador continuó intercambiando fondos a ETH a través de otros protocolos DeFi

En la hora posterior al ataque, el hacker aún no había movido ni mezclado los fondos, salvo los movimientos iniciales a través de protocolos DeFi . El ataque contra BunniXYZ forma parte de la última serie de hackeos relativamente menores, con un robo de menos de 10 millones de dólares. 

Incluso los ataques relativamente pequeños suelen afectar la reputación de los protocolos y destruir nuevos DeFi . Una de las vulnerabilidades más recientes de los contratos inteligentes trac contra BetterBank, como informó . Estos ataques levantan sospechas de trabajos internos o de código malicioso inyectado en Web3 por hackers de la RPDC.

BunniXYZ atacó en la cima

BunniXYZ es un DEX que utiliza Ethereum y Unichain. El nuevo mercado también utiliza la tecnología Uniswap V4 para crear bóvedas y mercados especiales con reglas de trading más complejas.

Al igual que otros mercados, BunniXYZ fue atacado poco después de alcanzar un pico local de valor bloqueado. A finales de agosto, el exchange tenía hasta 60 millones de dólares en sus bóvedas. El mercado aún era relativamente pequeño, tras su lanzamiento en febrero y su consolidación entre los nuevos protocolos DeFi . 

Agosto también fue uno de los meses más exitosos para el DEX, con un volumen superior a los mil millones de dólares. El exchange se dedicó específicamente a generar liquidez para la rehipoteca , evitando liquidaciones durante las caídas del mercado. La liquidez del DEX también estuvo vinculada al Protocolo Euler para generar ingresos pasivos.

BunniXYZ se benefició de los volúmenes ampliados de Uniswap V4, ya que el protocolo atrajo más de $393 millones a sus bóvedas en Ethereum y $298 millones en Unichain.

Un hacker explotó el cálculo de liquidez de BunniXYZ

El análisis posterior al hackeo reveló que BunniXYZ era vulnerable debido a sutracespecífico de recálculo de liquidez. El DEX es un gancho de liquidez que utiliza la tecnología Uniswap V4. Sin embargo, en lugar de utilizar el cálculo de liquidez de Uniswap, BunniXYZ recalcula la Función de Distribución de Liquidez. 

El atacante descubrió que la Función de Distribución de Liquidez podía fallar debido a transacciones de un tamaño específico. Esto significaba que el contrato inteligente trac más tokens del fondo de liquidez de los que poseía en realidad, agotando así la plataforma. El atacante tuvo que repetir varias transacciones para acumular 2,3 millones de dólares y luego intercambiarlos por ETH. Finalmente, depositó los ETH en Aave , manteniendo 1,33 millones de dólares en AethUSDC y 1 millón de dólares en AethUSDT, según el de la billetera .

BunniXYZ se ha sometido a auditorías previas, pero el error LDF podría haber llegado con una versión posterior del exchange. La causa más probable es un error de precisión, que obligó al hacker a realizar múltiples transacciones para acumular un saldo mayor basándose en el recálculo defectuoso.

Obtén hasta $30,050 en recompensas comerciales cuando te unas a Bybit hoy