{"id":8766,"date":"2025-09-05T11:28:20","date_gmt":"2025-09-05T11:28:20","guid":{"rendered":"https:\/\/satoshibrother.com\/it\/bunni-colpita-da-un-exploit-da-84-milioni-di-dollari-accusato-un-errore-di-arrotondamento\/"},"modified":"2025-09-05T11:28:20","modified_gmt":"2025-09-05T11:28:20","slug":"bunni-colpita-da-un-exploit-da-84-milioni-di-dollari-accusato-un-errore-di-arrotondamento","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/it\/bunni-colpita-da-un-exploit-da-84-milioni-di-dollari-accusato-un-errore-di-arrotondamento\/","title":{"rendered":"Bunni colpita da un exploit da 8,4 milioni di dollari: accusato un errore di arrotondamento"},"content":{"rendered":"

Exploit del Protocollo Bunni<\/h2>\n

Il protocollo di finanza decentralizzata Bunni<\/strong> ha subito un exploit da 8,4 milioni di dollari<\/strong> il 2 settembre, quando un attaccante esperto ha sfruttato un prestito flash per manipolare i pool di liquidit\u00e0 sia su Ethereum<\/strong> che su Unichain<\/strong>. L’incidente ha preso di mira i pool weETH\/ETH<\/em> e USDC\/USDT<\/em>, attribuito a un difetto nella logica del contratto intelligente di Bunni, legato a errori di arrotondamento<\/strong>.<\/p>\n

Dettagli dell’Attacco<\/h2>\n

Bunni ha incolpato un bug di arrotondamento per un exploit da 2,3 milioni di dollari<\/strong>, offrendo una ricompensa del 10%<\/strong> per il recupero dei fondi. Secondo il post-mortem di Bunni, l’exploit si \u00e8 svolto in tre fasi:<\/p>\n

    \n
  1. L’attaccante ha preso in prestito 3 milioni di USDT<\/strong> tramite un prestito flash, utilizzandoli per manipolare il prezzo spot del pool USDC\/USDT<\/em>.<\/li>\n
  2. Con il saldo attivo di USDC del pool ridotto a soli 28 wei<\/strong>, l’attaccante ha avviato 44 piccoli prelievi<\/strong>, sfruttando un errore di arrotondamento nel codice di Bunni.<\/li>\n
  3. Ha eseguito un attacco sandwich, effettuando grandi scambi che hanno distorto i prezzi, estraendo profitti prima di restituire il prestito flash.<\/li>\n<\/ol>\n

    In totale, l’exploit ha fruttato circa 1,33 milioni di USDC<\/strong> e 1 milione di USDT<\/strong> per l’attaccante.<\/p>\n

    Conseguenze e Risposta di Bunni<\/h2>\n

    La societ\u00e0 di sicurezza blockchain Cyfrin<\/strong> ha confermato che la vulnerabilit\u00e0 derivava dal modo in cui il contratto intelligente di Bunni arrotondava i saldi durante i prelievi. Sebbene il meccanismo fosse progettato per garantire la sicurezza del pool, ripetuti piccoli prelievi hanno creato condizioni favorevoli per sfruttare la logica di arrotondamento.<\/p>\n

    Bunni ha notato che il suo pool pi\u00f9 grande, la coppia USDC\/USD\u20ae0<\/em> di Unichain, \u00e8 stato risparmiato a causa della mancanza di liquidit\u00e0 di prestito flash disponibile per montare un attacco. Sfruttare quel pool avrebbe richiesto circa 17 milioni di dollari<\/strong> in asset presi in prestito, ma solo 11 milioni<\/strong> erano disponibili.<\/p>\n

    Investigazioni e Futuro di Bunni<\/h2>\n

    Bunni ha confermato che gli asset rubati sono ora divisi tra due portafogli collegati all’attaccante. Gli investigatori hanno rintracciato le origini dei fondi, ma hanno incontrato un vicolo cieco dopo aver scoperto che i portafogli erano stati finanziati tramite Tornado Cash<\/strong>, uno strumento di privacy sanzionato. Il team ha contattato direttamente l’attaccante on-chain, offrendo una ricompensa del 10%<\/strong> in cambio del ritorno dei fondi rimanenti.<\/p>\n

    Nel seguito immediato, Bunni ha sospeso tutte le operazioni, ma ha successivamente riattivato i prelievi per consentire ai fornitori di liquidit\u00e0 di recuperare i loro depositi. I depositi e gli scambi rimangono congelati mentre gli sviluppatori lavorano a una soluzione. Cambiare la direzione di arrotondamento della funzione interessata neutralizza l’attuale vettore di exploit, sebbene il team abbia riconosciuto che sono necessari test pi\u00f9 approfonditi e miglioramenti della sicurezza prima di riaprire completamente.<\/p>\n

    Contesto del Settore delle Criptovalute<\/h2>\n

    Agosto segna il terzo mese peggiore<\/strong> per la sicurezza delle criptovalute, con 163 milioni di dollari<\/strong> persi a causa di hack e truffe. Bunni, un tempo vantando oltre 80 milioni di dollari<\/strong> di valore totale bloccato (TVL) su BNB Chain, ora detiene poco pi\u00f9 di 50 milioni<\/strong> dopo l’exploit. L’incidente si aggiunge a una serie di attacchi e truffe che colpiscono il settore.<\/p>\n

    \n “Abbiamo trascorso anni a costruire Bunni perch\u00e9 crediamo che sia il futuro degli AMM”, ha dichiarato il team nella sua comunicazione, promettendo di rafforzare il proprio codice e i framework di test per prevenire attacchi simili.\n<\/p><\/blockquote>\n

    Solo un giorno prima, un utente di Venus Protocol<\/strong> ha perso 13,5 milioni di dollari<\/strong> in una truffa di phishing. Secondo la societ\u00e0 di sicurezza blockchain PeckShield<\/strong>, la vittima ha approvato inconsapevolmente una transazione malevola, concedendo permessi sui token che hanno abilitato il furto.<\/p>\n

    Con phishing, vulnerabilit\u00e0 degli exchange e truffe di uscita che guidano perdite crescenti, agosto ha sottolineato come i difetti tecnici e l’errore umano continuino a tormentare l’industria delle criptovalute.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Exploit del Protocollo Bunni Il protocollo di finanza decentralizzata Bunni ha subito un exploit da 8,4 milioni di dollari il 2 settembre, quando un attaccante esperto ha sfruttato un prestito flash per manipolare i pool di liquidit\u00e0 sia su Ethereum che su Unichain. L’incidente ha preso di mira i pool weETH\/ETH e USDC\/USDT, attribuito a un difetto nella logica del contratto intelligente di Bunni, legato a errori di arrotondamento. Dettagli dell’Attacco Bunni ha incolpato un bug di arrotondamento per un exploit da 2,3 milioni di dollari, offrendo una ricompensa del 10% per il recupero dei fondi. Secondo il post-mortem di<\/p>\n","protected":false},"author":3,"featured_media":8765,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[344,13,65,1525,21,2038,8386,77,8387],"class_list":["post-8766","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-bnb-chain","tag-ethereum","tag-hack","tag-peckshield","tag-tether-usdt","tag-tornado-cash","tag-unichain","tag-usdc","tag-venus-protocol"],"yoast_description":"Il protocollo di finanza decentralizzata Bunni ha subito un exploit da 8,4 milioni di dollari a causa di un errore di arrotondamento nel suo contratto intelligente, portando a una significativa manipolazione della liquidit\u00e0.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/8766","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/comments?post=8766"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/8766\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media\/8765"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media?parent=8766"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/categories?post=8766"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/tags?post=8766"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}