A corretora Ethereum BunniXYZ foi drenada em US$ 2,3 milhões devido a uma exploração detracinteligente

A exchange Ethereum BunniXYZ sofreu uma série de saídas não autorizadas. Investigadores on-chaindento evento como um ataque hacker, com perdas estimadas em cerca de US$ 2,3 milhões. 

A BunniXYZ, uma exchange descentralizada Ethereum , foi alvo de um ataque cibernético através de um de seustracinteligentes. O hacker movimentou principalmente stablecoins, causando um prejuízo total de US$ 2,3 milhões. 

#CertiKInsight 🚨

IdentificamosdentUS$ 2,3 milhões no da @bunni_xyz BunniHubtrac.https://t.co/lZB0vzSMQx

O explorador exfiltrou fundos para 0xe04efd87f410e260cf940a3bcb8bc61f33464f2b.

Mantenha-se vigilante!

— CertiK Alert (@CertiKAlert) 2 de setembro de 2025

Com base no histórico de transações, o hacker atacou os cofres de USDT e USDC, movimentando os tokens pelo Ethereum e resultando em uma mistura de ETH e stablecoins. Nos primeiros minutos, o BunniXYZ inteligentestrac. 

Logo após o ataque, o explorador continuou a trocar fundos por ETH através de outros DeFi . 

Na hora seguinte ao ataque, o hacker ainda não havia movimentado ou misturado os fundos, exceto pelas movimentações iniciais através dos protocolos DeFi . O ataque contra a BunniXYZ faz parte da mais recente série de ataques relativamente menores, que resultaram em roubos de menos de US$ 10 milhões. 

Mesmo ataques relativamente pequenos costumam prejudicar a reputação de protocolos e destruir novos DeFi . Um dostracexploits de contrato inteligente mais recentes foi contra o BetterBank, conforme Cryptopolitan pelo. Tais ataques levantam suspeitas de infiltração interna ou de código malicioso injetado na Web3 por hackers da Coreia do Norte. 

BunniXYZ atacou no pico

BunniXYZ é uma DEX que utiliza tanto Ethereum quanto Unichain. O novo mercado também usa a tecnologia Uniswap V4 para criar cofres e mercados especiais com regras de negociação mais complexas. 

Assim como em outros mercados, a BunniXYZ foi atacada logo após atingir um pico local de valor bloqueado. No final de agosto, a exchange possuía até US$ 60 milhões em seus cofres. O mercado ainda era relativamente pequeno, tendo sido lançado em fevereiro e consolidado sua posição entre os novos protocolos DeFi . 

Agosto também foi um dos meses de maior sucesso para a DEX, com um volume superior a US$ 1 bilhão. A exchange estava especificamente construindo liquidez para rehipotecação, evitando liquidações durante quedas de mercado. A liquidez da DEX também estava vinculada ao Protocolo Euler para geração de renda passiva.

A BunniXYZ aproveitou o aumento no volume de transações proporcionado pela Uniswap V4, já que o protocolo atraiu mais de US$ 393 milhões para seus cofres na Ethereum e US$ 298 milhões na Unichain.

Hacker explorou o cálculo de liquidez da BunniXYZ

A análise pós-ataque revelou que a BunniXYZ era vulnerável devido ao seutracespecífico de recálculo de liquidez. A DEX é um mecanismo de busca de liquidez, utilizando a tecnologia Uniswap V4. No entanto, em vez de usar o cálculo de liquidez da Uniswap, a BunniXYZ recalcula a Função de Distribuição de Liquidez. 

O explorador descobriu que a Função de Distribuição de Liquidez podia falhar em negociações de tamanhos específicos. Isso significava que o contrato inteligentetracmais tokens do pool de liquidez do que possuía na realidade, acabando por drenar a exchange. O atacante teve que repetir várias transações para finalmente acumular US$ 2,3 milhões, e então trocá-los por ETH. Ele então depositou o ETH na Aave, ficando com US$ 1,33 milhão em AethUSDC e US$ 1 milhão em AethUSDT, com base no da carteira saldo final 

A BunniXYZ já passou por auditorias anteriores, mas a falha no LDF pode ter surgido em uma versão posterior da exchange. A causa mais provável é uma falha de precisão, que exigia que o hacker realizasse múltiplas transações para acumular um saldo maior com base no recálculo incorreto.