El exchange Ethereum BunniXYZ registró una serie de salidas no autorizadas. Los investigadores en cadenadentel incidente como un ataque informático, con pérdidas de aproximadamente $2.3 millones.
BunniXYZ, un exchange descentralizado Ethereum , fue víctima de un ataque informático a través de uno de sustracinteligentes. El hacker movió principalmente monedas estables, con una pérdida total de 2,3 millones de dólares.
Hemos dent un exploit de $2,3 millones en el trac BunniHub de @bunni_xyz . https://t.co/lZB0vzSMQx
El explotador ha exfiltrado fondos a 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b.
¡Permanezca alerta!
— Alerta CertiK (@CertiKAlert) 2 de septiembre de 2025
Basándose en el historial de transacciones , el hacker atacó las bóvedas de USDT y USDC, y luego movió los tokens a través del Ethereum , obteniendo una combinación de ETH y monedas estables. En los primeros minutos, el BunniXYZ trac inteligentes .
Poco después del hackeo, el explotador continuó intercambiando fondos por ETH a través de otros DeFi .
En la hora posterior al ataque, el hacker aún no había movido ni mezclado los fondos, salvo los movimientos iniciales a través de protocolos DeFi . El ataque contra BunniXYZ forma parte de la última serie de hackeos relativamente menores, con un robo de menos de 10 millones de dólares.
Incluso los ataques relativamente pequeños suelen afectar la reputación de los protocolos y destruir nuevos DeFi . Una de las vulnerabilidades más recientes de los contratos inteligentes fue contra BetterBank, como trac Cryptopolitan Se informó que estos ataques levantan sospechas de trabajos internos o de código malicioso inyectado en Web3 por piratas informáticos de la RPDC.
BunniXYZ atacó en la cima
BunniXYZ es un DEX que utiliza Ethereum y Unichain. El nuevo mercado también utiliza la tecnología Uniswap V4 para crear bóvedas y mercados especiales con reglas de trading más complejas.
Al igual que otros mercados, BunniXYZ fue atacado poco después de alcanzar un pico local de valor bloqueado. A finales de agosto, el exchange tenía hasta 60 millones de dólares en sus bóvedas. El mercado aún era relativamente pequeño, tras su lanzamiento en febrero y su consolidación entre los nuevos protocolos DeFi .
Agosto también fue uno de los meses más exitosos para el DEX, con más de mil millones de dólares en volúmenes. El exchange se dedicó específicamente a generar liquidez para la rehipoteca , evitando liquidaciones durante las caídas del mercado. La liquidez del DEX también estuvo vinculada al Protocolo Euler para generar ingresos pasivos.
BunniXYZ se benefició de los volúmenes ampliados de Uniswap V4, ya que el protocolo atrajo más de $393 millones a sus bóvedas en Ethereum y $298 millones en Unichain.
Un hacker explotó el cálculo de liquidez de BunniXYZ
El análisis posterior al hackeo reveló que BunniXYZ era vulnerable debido a sutracespecífico de recálculo de liquidez. El DEX es un gancho de liquidez que utiliza la tecnología Uniswap V4. Sin embargo, en lugar de utilizar el cálculo de liquidez de Uniswap, BunniXYZ recalcula la Función de Distribución de Liquidez.
El atacante descubrió que la Función de Distribución de Liquidez podía fallar debido a transacciones de un tamaño específico. Esto significaba que el contrato inteligente trac más tokens del fondo de liquidez de los que poseía en realidad, agotando así la plataforma. El atacante tuvo que repetir múltiples transacciones para acumular 2,3 millones de dólares y luego canjearlos por ETH. Finalmente, depositó los ETH en Aave , con 1,33 millones de dólares en AethUSDC y 1 millón de dólares en AethUSDT, según el saldo final de la billetera
BunniXYZ se ha sometido a auditorías previas, pero el error LDF podría haber llegado con una versión posterior del exchange. La causa más probable es un error de precisión, que obligó al hacker a realizar múltiples transacciones para acumular un saldo mayor basándose en el recálculo defectuoso.
