A bolsa de Ethereum BunniXYZ sofre uma violação de US$ 2,3 milhões

A corretora Ethereum BunniXYZ sofreu uma série de saídas não autorizadas. Investigadores on-chaindento evento como um hack, com perdas de cerca de US$ 2,3 milhões. 

A BunniXYZ, uma exchange descentralizada Ethereum , foi explorada por meio de um de seustracinteligentes. O hacker movimentou principalmente stablecoins, resultando em uma perda total de US$ 2,3 milhões. 

#CertiKInsight 🚨

Identificamos dent US$ 2,3 milhões no trac @bunni_xyz BunniHub . https://t.co/lZB0vzSMQx

O explorador exfiltrou fundos para 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b.

Fique atento!

— CertiK Alert (@CertiKAlert) 2 de setembro de 2025

Com base no histórico de transações , o hacker atacou os cofres USDT e USDC e, em seguida, moveu os tokens pelo Ethereum , resultando em uma mistura de ETH e stablecoins. Nos primeiros minutos, o BunniXYZ trac inteligentes .

Logo após o hack, o explorador continuou a trocar fundos para ETH por meio de outros protocolos DeFi

Na hora seguinte ao ataque, o hacker ainda não havia movimentado ou misturado os fundos, exceto pelas movimentações iniciais por meio de protocolos DeFi . O ataque contra a BunniXYZ faz parte da mais recente série de ataques relativamente pequenos, que roubaram menos de US$ 10 milhões. 

Mesmo os ataques relativamente pequenos costumam custar a reputação de protocolos e destruir novos DeFi . Uma das explorações de contratos inteligentes mais recentes foi contra o BetterBank, conforme relatado pelo Cryptopolitan trac Tais ataques levantam suspeitas de trabalho interno ou código malicioso injetado na Web3 por hackers da RPDC.

BunniXYZ atacou no pico

BunniXYZ é uma DEX que utiliza Ethereum e Unichain. O novo mercado também utiliza a tecnologia Uniswap V4 para criar cofres e mercados especiais com regras de negociação mais complexas.

Assim como em outros mercados, o BunniXYZ foi atacado logo após atingir um pico local de valor bloqueado. No final de agosto, a corretora tinha até US$ 60 milhões em seus cofres. O mercado ainda era relativamente pequeno, após seu lançamento em fevereiro e sua conquista entre os novos protocolos DeFi . 

Agosto também foi um dos meses de maior sucesso para a DEX, com mais de US$ 1 bilhão em volumes. A corretora estava especificamente construindo liquidez para rehipotecas , evitando liquidações durante quedas do mercado. A liquidez da DEX também estava vinculada ao Protocolo Euler para renda passiva.

BunniXYZ aproveitou os volumes expandidos do Uniswap V4, já que o protocolo atraiu mais de US$ 393 milhões para seus cofres no Ethereum e US$ 298 milhões no Unichain.

Hacker explorou cálculo de liquidez do BunniXYZ

A análise pós-hack mostrou que o BunniXYZ era vulnerável devido ao seutracespecífico de recálculo de liquidez. A DEX é um gancho de liquidez, utilizando a tecnologia Uniswap V4. No entanto, em vez de utilizar o cálculo de liquidez do Uniswap, o BunniXYZ recalcula a Função de Distribuição de Liquidez. 

O invasor descobriu que a Função de Distribuição de Liquidez podia ser interrompida em negociações de tamanhos específicos. Isso significava que o contrato inteligente trac mais tokens do pool de liquidez do que realmente possuía, acabando por drenar a exchange. O invasor teve que repetir várias transações para finalmente acumular US$ 2,3 milhões e, em seguida, trocá-los por ETH. Ele então depositou o ETH na Aave , mantendo US$ 1,33 milhão em AethUSDC e US$ 1 milhão em AethUSDT, com base no saldo final da carteira

A BunniXYZ já passou por auditorias anteriores, mas o bug do LDF pode ter chegado com uma versão posterior da corretora. A causa mais provável é um bug de precisão, que exigiu que o hacker realizasse várias transações para acumular um saldo maior com base no recálculo incorreto.

Ganhe até US$ 30.050 em recompensas comerciais ao se inscrever na Bybit hoje