A exchange Ethereum BunniXYZ sofreu uma série de saídas não autorizadas. Investigadores on-chaindento evento como um ataque hacker, com perdas estimadas em cerca de US$ 2,3 milhões.
A BunniXYZ, uma exchange descentralizada Ethereum , foi alvo de um ataque cibernético através de um de seustracinteligentes. O hacker movimentou principalmente stablecoins, causando um prejuízo total de US$ 2,3 milhões.
Identificamos dent US$ 2,3 milhões no trac BunniHub da @bunni_xyz . https://t.co/lZB0vzSMQx
O explorador exfiltrou fundos para 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b.
Mantenha-se vigilante!
— CertiK Alert (@CertiKAlert) 2 de setembro de 2025
Com base no histórico de transações , o hacker atacou os cofres de USDT e USDC, movimentando os tokens pelo Ethereum e resultando em uma mistura de ETH e stablecoins. Nos primeiros minutos, o BunniXYZ trac inteligentes .
Logo após o ataque, o explorador continuou a trocar fundos por ETH através de outros DeFi .
Na hora seguinte ao ataque, o hacker ainda não havia movimentado ou misturado os fundos, exceto pelas movimentações iniciais através dos protocolos DeFi . O ataque contra a BunniXYZ faz parte da mais recente série de ataques relativamente menores, que resultaram em roubos de menos de US$ 10 milhões.
Mesmo ataques relativamente pequenos costumam prejudicar a reputação dos protocolos e destruir novos DeFi . Uma das explorações mais recentes de contratos inteligentes trac contra o BetterBank, conforme relatado pela Cryptopolitan Relatado . Tais ataques levantam suspeitas de infiltração interna ou de código malicioso injetado na Web3 por hackers da Coreia do Norte.
BunniXYZ atacou no pico
BunniXYZ é uma DEX que utiliza tanto Ethereum quanto Unichain. O novo mercado também usa a tecnologia Uniswap V4 para criar cofres e mercados especiais com regras de negociação mais complexas.
Assim como em outros mercados, a BunniXYZ foi atacada logo após atingir um pico local de valor bloqueado. No final de agosto, a exchange possuía até US$ 60 milhões em seus cofres. O mercado ainda era relativamente pequeno, tendo sido lançado em fevereiro e consolidado sua posição entre os novos protocolos DeFi .
Agosto também foi um dos meses de maior sucesso para a DEX, com um volume superior a US$ 1 bilhão. A exchange estava especificamente construindo liquidez para rehipotecação , evitando liquidações durante quedas de mercado. A liquidez da DEX também estava vinculada ao Protocolo Euler para geração de renda passiva.
A BunniXYZ aproveitou o aumento no volume de transações proporcionado pela Uniswap V4, já que o protocolo atraiu mais de US$ 393 milhões para seus cofres na Ethereum e US$ 298 milhões na Unichain.
Hacker explorou o cálculo de liquidez da BunniXYZ
A análise pós-ataque revelou que a BunniXYZ era vulnerável devido ao seutracespecífico de recálculo de liquidez. A DEX é um mecanismo de busca de liquidez, utilizando a tecnologia Uniswap V4. No entanto, em vez de usar o cálculo de liquidez da Uniswap, a BunniXYZ recalcula a Função de Distribuição de Liquidez.
O explorador descobriu que a Função de Distribuição de Liquidez podia falhar em negociações de tamanhos específicos. Isso significava que o contrato inteligente trac mais tokens do pool de liquidez do que possuía na realidade, acabando por drenar a exchange. O atacante teve que repetir várias transações para finalmente acumular US$ 2,3 milhões, e então trocá-los por ETH. Ele acabou depositando o ETH na Aave , ficando com US$ 1,33 milhão em AethUSDC e US$ 1 milhão em AethUSDT, com base no saldo final da carteira
A BunniXYZ já passou por auditorias anteriores, mas a falha no LDF pode ter surgido em uma versão posterior da exchange. A causa mais provável é uma falha de precisão, que exigia que o hacker realizasse múltiplas transações para acumular um saldo maior com base no recálculo incorreto.
