El protocolo de finanzas descentralizadas Bunni<\/strong> sufri\u00f3 una explotaci\u00f3n de $8.4 millones<\/strong> el 2 de septiembre, cuando un atacante sofisticado aprovech\u00f3 un pr\u00e9stamo flash para manipular los pools de liquidez tanto en Ethereum<\/strong> como en Unichain<\/strong>. El incidente, que tuvo como objetivo los pools weETH\/ETH<\/em> y USDC\/USDT<\/em>, se atribuye a un defecto en la l\u00f3gica del contrato inteligente de Bunni relacionado con errores de redondeo.<\/p>\n Seg\u00fan el an\u00e1lisis post-mortem de Bunni, la explotaci\u00f3n se ejecut\u00f3 en tres etapas. El atacante primero tom\u00f3 prestados 3 millones de USDT<\/strong> a trav\u00e9s de un pr\u00e9stamo flash, utiliz\u00e1ndolos para manipular el precio de mercado del pool USDC\/USDT<\/em> a niveles extremos. Con el saldo activo de USDC del pool reducido a solo 28 wei<\/strong>, el explotador inici\u00f3 44 retiros peque\u00f1os<\/strong>. Esto explot\u00f3 un error de redondeo en el c\u00f3digo de Bunni, reduciendo desproporcionadamente la liquidez del pool en m\u00e1s del 84%<\/strong>. Con la liquidez artificialmente suprimida, el atacante llev\u00f3 a cabo un ataque de s\u00e1ndwich, ejecutando grandes intercambios que distorsionaron los precios. Al revertir la reducci\u00f3n de liquidez anterior, extrajeron ganancias antes de devolver el pr\u00e9stamo flash. En total, la explotaci\u00f3n gener\u00f3 aproximadamente 1.33 millones de USDC<\/strong> y 1 mill\u00f3n de USDT<\/strong> para el atacante.<\/p>\n La firma de seguridad blockchain Cyfrin<\/strong> confirm\u00f3 que la vulnerabilidad proven\u00eda de c\u00f3mo el contrato inteligente de Bunni redondeaba los saldos durante los retiros. Si bien el mecanismo estaba dise\u00f1ado para favorecer la seguridad del pool subestimando la liquidez, los retiros repetidos y peque\u00f1os crearon condiciones que permitieron que la l\u00f3gica de redondeo fuera explotada a gran escala.<\/p>\n Bunni se\u00f1al\u00f3 que su pool m\u00e1s grande, el par USDC\/USD\u20ae0<\/em> de Unichain, se salv\u00f3 debido a la insuficiente liquidez de pr\u00e9stamos flash disponible para llevar a cabo un ataque. Explotar ese pool habr\u00eda requerido aproximadamente $17 millones<\/strong> en activos prestados, pero solo hab\u00eda $11 millones<\/strong> disponibles en los lugares de pr\u00e9stamo en ese momento.<\/p>\n Bunni confirm\u00f3 que los activos robados ahora est\u00e1n divididos en dos billeteras vinculadas al atacante. Los investigadores rastrearon los or\u00edgenes de los fondos, pero se encontraron con un callej\u00f3n sin salida despu\u00e9s de descubrir que las billeteras fueron financiadas a trav\u00e9s de Tornado Cash<\/em>, una herramienta de privacidad sancionada. El equipo ha contactado directamente al explotador en la cadena, ofreciendo una recompensa del 10%<\/strong> a cambio de la devoluci\u00f3n de los fondos restantes. Tambi\u00e9n se han notificado a los intercambios centralizados para prevenir cualquier intento de salida, mientras que se ha involucrado a las fuerzas del orden para buscar opciones de recuperaci\u00f3n.<\/p>\n Inmediatamente despu\u00e9s, Bunni paus\u00f3 todas las operaciones, pero desde entonces ha reactivado los retiros para permitir que los proveedores de liquidez recuperen sus dep\u00f3sitos. Los dep\u00f3sitos y los intercambios permanecen congelados mientras los desarrolladores trabajan en una soluci\u00f3n. Cambiar la direcci\u00f3n de redondeo de la funci\u00f3n afectada neutraliza el vector de explotaci\u00f3n actual, aunque el equipo reconoci\u00f3 que se necesitan pruebas m\u00e1s extensas y mejoras de seguridad antes de reabrir completamente.<\/p>\n Bunni, operado por un equipo de seis personas, afirm\u00f3 que sigue comprometido con el desarrollo a pesar del contratiempo. El protocolo introdujo conceptos novedosos como las Funciones de Densidad de Liquidez (LDF)<\/strong>, que el equipo sostiene representan una nueva generaci\u00f3n de creadores de mercado automatizados. <\/p>\n \u00abPasamos a\u00f1os construyendo Bunni porque creemos que es el futuro de los AMMs\u00bb<\/p><\/blockquote>\n , declar\u00f3 el equipo, mientras se compromet\u00edan a fortalecer su base de c\u00f3digo y marcos de prueba para prevenir ataques similares.<\/p>\n Agosto marca el tercer peor mes para la seguridad cripto con $163 millones<\/strong> perdidos en hacks y estafas. Bunni, que alguna vez presumi\u00f3 de m\u00e1s de $80 millones<\/strong> en valor total bloqueado (TVL) en BNB Chain, ahora tiene poco m\u00e1s de $50 millones<\/strong> tras la explotaci\u00f3n. El incidente se suma a una serie de ataques y estafas que han golpeado al sector. Justo un d\u00eda antes, un usuario de Venus Protocol<\/strong> perdi\u00f3 $13.5 millones<\/strong> en una estafa de phishing. Seg\u00fan la firma de seguridad blockchain PeckShield<\/strong>, la v\u00edctima aprob\u00f3 sin saber una transacci\u00f3n maliciosa, otorgando permisos de token que habilitaron el robo.<\/p>\n Las p\u00e9rdidas hicieron de agosto el tercer peor mes para la seguridad cripto en 2025. El robo individual m\u00e1s grande ocurri\u00f3 el 19 de agosto, cuando un poseedor de Bitcoin perdi\u00f3 783 BTC<\/strong>, por un valor de $91.4 millones<\/strong>, en un esquema de ingenier\u00eda social. Los atacantes supuestamente se hicieron pasar por personal de soporte de billeteras de hardware para obtener credenciales sensibles antes de lavar los fondos a trav\u00e9s de Wasabi Wallet<\/em>.<\/p>\n El intercambio turco BtcTurk<\/strong> tambi\u00e9n fue golpeado, perdiendo $54 millones<\/strong> en una violaci\u00f3n de billetera caliente multi-cadena a trav\u00e9s de siete redes blockchain. El incidente llev\u00f3 sus p\u00e9rdidas acumuladas a m\u00e1s de $100 millones<\/strong> tras un hackeo previo en junio de 2024. Otros casos notables incluyeron la p\u00e9rdida de $7 millones<\/strong> de ODIN\u2022FUN<\/em>, la explotaci\u00f3n de $5 millones<\/strong> de BetterBank.io<\/em>, y el colapso de $4.5 millones<\/strong> de CrediX Finance<\/em>, que se convirti\u00f3 en una estafa de salida despu\u00e9s de que los desarrolladores abandonaran el proyecto.<\/p>\n Con el phishing, las vulnerabilidades de intercambio y las estafas de salida impulsando p\u00e9rdidas crecientes, agosto subray\u00f3 c\u00f3mo tanto los fallos t\u00e9cnicos como el error humano contin\u00faan afectando a la industria cripto.<\/p>\n","protected":false},"excerpt":{"rendered":" Explotaci\u00f3n del Protocolo Bunni El protocolo de finanzas descentralizadas Bunni sufri\u00f3 una explotaci\u00f3n de $8.4 millones el 2 de septiembre, cuando un atacante sofisticado aprovech\u00f3 un pr\u00e9stamo flash para manipular los pools de liquidez tanto en Ethereum como en Unichain. El incidente, que tuvo como objetivo los pools weETH\/ETH y USDC\/USDT, se atribuye a un defecto en la l\u00f3gica del contrato inteligente de Bunni relacionado con errores de redondeo. Detalles de la Explotaci\u00f3n Seg\u00fan el an\u00e1lisis post-mortem de Bunni, la explotaci\u00f3n se ejecut\u00f3 en tres etapas. El atacante primero tom\u00f3 prestados 3 millones de USDT a trav\u00e9s de un pr\u00e9stamo<\/p>\n","protected":false},"author":3,"featured_media":8766,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[344,13,65,1525,21,2038,8387,77,8388],"class_list":["post-8767","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-bnb-chain","tag-ethereum","tag-hack","tag-peckshield","tag-tether-usdt","tag-tornado-cash","tag-unichain","tag-usdc","tag-venus-protocol"],"yoast_description":"El protocolo de finanzas descentralizadas Bunni experiment\u00f3 una explotaci\u00f3n de $8.4 millones debido a un error de redondeo en su contrato inteligente, lo que llev\u00f3 a una manipulaci\u00f3n significativa de la liquidez.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/8767","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/comments?post=8767"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/8767\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media\/8766"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media?parent=8767"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/categories?post=8767"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/tags?post=8767"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Detalles de la Explotaci\u00f3n<\/h2>\n
Vulnerabilidad y Respuesta<\/h2>\n
Acciones Posteriores y Compromiso del Equipo<\/h2>\n
Impacto en la Seguridad Cripto<\/h2>\n