El ataque a Bunni
El intercambio descentralizado Bunni fue víctima de un exploit, perdiendo aproximadamente $2.4 millones en stablecoins después de que los atacantes manipularan los cálculos de liquidez de la plataforma, según datos en cadena de múltiples firmas de seguridad Web3.
«La aplicación Bunni ha sido afectada por un exploit de seguridad,» confirmó su equipo en X el martes.
«Como medida de precaución, hemos pausado todas las funciones de contratos inteligentes en todas las redes. Nuestro equipo está investigando activamente y proporcionará actualizaciones pronto,» añadieron.
El ataque tuvo como objetivo los contratos inteligentes basados en Ethereum de Bunni. Los fondos fueron drenados a una dirección que contenía $1.33 millones en USDC y $1.04 millones en USDT. Un contribuyente clave de Bunni instó a los usuarios a retirar sus fondos de la plataforma lo antes posible.
«Si tienes dinero en Bunni, retíralo lo antes posible,» escribieron en X.
Bunni canaliza liquidez a través de Euler Finance, una plataforma de préstamos descentralizada que permite a los usuarios pedir prestado, prestar y diseñar productos cripto estructurados. A raíz del exploit, el cofundador y CEO de Euler, Michael Bentley, aclaró que el protocolo en sí no se vio afectado. Cointelegraph se puso en contacto con Bunni y Euler para obtener comentarios, pero no había recibido respuesta al momento de la publicación.
Cómo Bunni fue víctima del hack
Si bien un análisis técnico post-mortem sigue incompleto, el análisis inicial de desarrolladores e investigadores apunta a un defecto en la forma en que Bunni maneja el reequilibrio de liquidez. Bunni, construido sobre Uniswap v4, utiliza un mecanismo personalizado llamado Liquidity Distribution Function (LDF) en lugar de la lógica predeterminada de Uniswap. Este mecanismo permite a Bunni optimizar la asignación de liquidez a través de rangos de precios, con el objetivo de aumentar los rendimientos para los proveedores de liquidez.
Según Victor Tran, cofundador de KyberNetwork, el atacante pudo manipular la curva LDF ejecutando operaciones de tamaños específicos que activaron una lógica de reequilibrio defectuosa.
«El explotador descubrió que podía manipular esta LDF haciendo operaciones de tamaños muy específicos,» escribió Tran en X.
«Estos montos cuidadosamente elegidos hicieron que el cálculo de reequilibrio fallara, dando resultados incorrectos sobre cuánto debería poseer cada participación de LP,» añadió. El atacante parece haber ejecutado el exploit varias veces, drenando gradualmente los fondos del protocolo sin activar alarmas de inmediato.
Los hacks de criptomonedas en agosto
En agosto, los hackers y estafadores de criptomonedas robaron más de $163 millones en 16 incidentes separados, marcando un aumento del 15% respecto a los $142 millones de julio. Si bien la cifra sigue siendo un 47% más baja en comparación interanual, refleja un preocupante aumento en los ataques dirigidos a medida que los mercados de criptomonedas ganan impulso.
PeckShield y otros expertos en ciberseguridad notaron un cambio estratégico en el comportamiento de los hackers, quienes ahora se enfocan en intercambios centralizados y personas de alto valor, en lugar de objetivos más pequeños y descentralizados. La mayor pérdida en agosto provino de un ataque de ingeniería social, donde un Bitcoiner fue engañado para enviar 783 BTC (por un valor de $91 millones) a atacantes que se hacían pasar por agentes de soporte de un intercambio de criptomonedas y proveedor de billeteras de hardware.
