Explotación del Protocolo Bunni
El protocolo de finanzas descentralizadas Bunni sufrió una explotación de $8.4 millones el 2 de septiembre, cuando un atacante sofisticado aprovechó un préstamo flash para manipular los pools de liquidez tanto en Ethereum como en Unichain. El incidente, que tuvo como objetivo los pools weETH/ETH y USDC/USDT, se atribuye a un defecto en la lógica del contrato inteligente de Bunni relacionado con errores de redondeo.
Detalles de la Explotación
Según el análisis post-mortem de Bunni, la explotación se ejecutó en tres etapas. El atacante primero tomó prestados 3 millones de USDT a través de un préstamo flash, utilizándolos para manipular el precio de mercado del pool USDC/USDT a niveles extremos. Con el saldo activo de USDC del pool reducido a solo 28 wei, el explotador inició 44 retiros pequeños. Esto explotó un error de redondeo en el código de Bunni, reduciendo desproporcionadamente la liquidez del pool en más del 84%. Con la liquidez artificialmente suprimida, el atacante llevó a cabo un ataque de sándwich, ejecutando grandes intercambios que distorsionaron los precios. Al revertir la reducción de liquidez anterior, extrajeron ganancias antes de devolver el préstamo flash. En total, la explotación generó aproximadamente 1.33 millones de USDC y 1 millón de USDT para el atacante.
Vulnerabilidad y Respuesta
La firma de seguridad blockchain Cyfrin confirmó que la vulnerabilidad provenía de cómo el contrato inteligente de Bunni redondeaba los saldos durante los retiros. Si bien el mecanismo estaba diseñado para favorecer la seguridad del pool subestimando la liquidez, los retiros repetidos y pequeños crearon condiciones que permitieron que la lógica de redondeo fuera explotada a gran escala.
Bunni señaló que su pool más grande, el par USDC/USD₮0 de Unichain, se salvó debido a la insuficiente liquidez de préstamos flash disponible para llevar a cabo un ataque. Explotar ese pool habría requerido aproximadamente $17 millones en activos prestados, pero solo había $11 millones disponibles en los lugares de préstamo en ese momento.
Acciones Posteriores y Compromiso del Equipo
Bunni confirmó que los activos robados ahora están divididos en dos billeteras vinculadas al atacante. Los investigadores rastrearon los orígenes de los fondos, pero se encontraron con un callejón sin salida después de descubrir que las billeteras fueron financiadas a través de Tornado Cash, una herramienta de privacidad sancionada. El equipo ha contactado directamente al explotador en la cadena, ofreciendo una recompensa del 10% a cambio de la devolución de los fondos restantes. También se han notificado a los intercambios centralizados para prevenir cualquier intento de salida, mientras que se ha involucrado a las fuerzas del orden para buscar opciones de recuperación.
Inmediatamente después, Bunni pausó todas las operaciones, pero desde entonces ha reactivado los retiros para permitir que los proveedores de liquidez recuperen sus depósitos. Los depósitos y los intercambios permanecen congelados mientras los desarrolladores trabajan en una solución. Cambiar la dirección de redondeo de la función afectada neutraliza el vector de explotación actual, aunque el equipo reconoció que se necesitan pruebas más extensas y mejoras de seguridad antes de reabrir completamente.
Bunni, operado por un equipo de seis personas, afirmó que sigue comprometido con el desarrollo a pesar del contratiempo. El protocolo introdujo conceptos novedosos como las Funciones de Densidad de Liquidez (LDF), que el equipo sostiene representan una nueva generación de creadores de mercado automatizados.
«Pasamos años construyendo Bunni porque creemos que es el futuro de los AMMs»
, declaró el equipo, mientras se comprometían a fortalecer su base de código y marcos de prueba para prevenir ataques similares.
Impacto en la Seguridad Cripto
Agosto marca el tercer peor mes para la seguridad cripto con $163 millones perdidos en hacks y estafas. Bunni, que alguna vez presumió de más de $80 millones en valor total bloqueado (TVL) en BNB Chain, ahora tiene poco más de $50 millones tras la explotación. El incidente se suma a una serie de ataques y estafas que han golpeado al sector. Justo un día antes, un usuario de Venus Protocol perdió $13.5 millones en una estafa de phishing. Según la firma de seguridad blockchain PeckShield, la víctima aprobó sin saber una transacción maliciosa, otorgando permisos de token que habilitaron el robo.
Las pérdidas hicieron de agosto el tercer peor mes para la seguridad cripto en 2025. El robo individual más grande ocurrió el 19 de agosto, cuando un poseedor de Bitcoin perdió 783 BTC, por un valor de $91.4 millones, en un esquema de ingeniería social. Los atacantes supuestamente se hicieron pasar por personal de soporte de billeteras de hardware para obtener credenciales sensibles antes de lavar los fondos a través de Wasabi Wallet.
El intercambio turco BtcTurk también fue golpeado, perdiendo $54 millones en una violación de billetera caliente multi-cadena a través de siete redes blockchain. El incidente llevó sus pérdidas acumuladas a más de $100 millones tras un hackeo previo en junio de 2024. Otros casos notables incluyeron la pérdida de $7 millones de ODIN•FUN, la explotación de $5 millones de BetterBank.io, y el colapso de $4.5 millones de CrediX Finance, que se convirtió en una estafa de salida después de que los desarrolladores abandonaran el proyecto.
Con el phishing, las vulnerabilidades de intercambio y las estafas de salida impulsando pérdidas crecientes, agosto subrayó cómo tanto los fallos técnicos como el error humano continúan afectando a la industria cripto.
