Bunni DEX fecha permanentemente após um hackeamento de $8.4 milhões, uma vez que a equipa cita fundos de recuperação insuficientes

Uma troca descentralizada construída com tecnologia de certo DEX anunciou que fechará permanentemente após uma brecha de segurança de $8,4 milhões drenar suas reservas, com a equipe de desenvolvimento dizendo que carece dos fundos necessários para relançar. Bunni DEX informou aos usuários que podem retirar seus ativos restantes, mas o tesouro da plataforma será dividido entre os detentores de tokens enquanto a empresa cessa operações.

O que saber:

• Os hackers exploraram o sistema de liquidez personalizado do Bunni DEX a 2 de setembro, usando empréstimos rápidos para manipular cálculos, drenando fundos através das redes Ethereum e Unichain, apesar de auditorias de segurança anteriores.
• O valor total bloqueado da plataforma tinha aumentado de $2,2 milhões para quase $80 milhões antes que o ataque eliminasse meses de crescimento em segundos.
• O encerramento junta-se a um ano problemático para as finanças descentralizadas, com mais de $3,1 mil milhões perdidos em exploits em 2025, segundo a empresa de segurança Hacken.

Detalhes da exploração e consequências financeiras

A brecha direcionou-se para a Função de Distribuição de Liquidez do Bunni, um mecanismo proprietário que a equipe desenvolveu para otimizar a liquidez de negociação. Os atacantes usaram empréstimos rápidos—empréstimos temporários e não garantidos que devem ser reembolsados dentro da mesma transação de blockchain—para manipular os cálculos internos da plataforma. Isso provocou erros de arredondamento que permitiram aos hackers extrair fundos sistematicamente.

Tanto a Trail of Bits como a Cyfrin realizaram auditorias de segurança no código do Bunni antes do ataque. No entanto, a vulnerabilidade a nível lógico não foi detectada por ambas as empresas.

A equipe parou todos os contratos inteligentes imediatamente após descobrir a brecha.

Publicaram que relançar a plataforma exigiria números de seis a sete zeros para auditorias completas e sistemas de monitoramento. “Para relançar de forma segura, precisaríamos de números de seis a sete zeros para auditorias e monitoramento, capital que simplesmente não temos”, escreveu a equipe.

O tesouro de Bunni será distribuído entre os detentores dos tokens BUNNI, LIT e veBUNNI. A equipe de desenvolvimento disse que será excluído de qualquer pagamento de compensação. Foi dito aos usuários para retirarem seus ativos restantes “até novo aviso”.

Antes de fechar, a equipe mudou a licença de seus contratos inteligentes da versão 2 da Business Source License para MIT. Isso abre a tecnologia da plataforma—incluindo funções de distribuição de liquidez, taxas de aumento e características de reequilíbrio autónomo—a outros desenvolvedores.

Implicações da indústria e preocupações de segurança

O colapso da plataforma sublinha as vulnerabilidades persistentes nos protocolos de finanças descentralizadas. A Bunni tinha experimentado um rápido crescimento nos meses antes do ataque, com dados da plataforma mostrando que seu valor total bloqueado subiu de $2,2 milhões para quase $80 milhões. A brecha eliminou esse progresso em segundos.

Os ataques de empréstimos rápidos tornaram-se um problema recorrente nas finanças descentralizadas. Estes exploits aproveitam o fato de que as transações em blockchain são executadas de forma atômica—o que significa que todas as operações dentro de uma transação completam com sucesso ou falham completamente. Os atacantes pedem emprestadas grandes quantias, manipulam preços ou cálculos, beneficiam-se da manipulação, reembolsam o empréstimo e ficam com a diferença, tudo dentro de uma única transação.

A perda de $8.4 milhões na Bunni representa uma fração do dano observado no setor de finanças descentralizadas este ano.

Os investigadores de segurança da Hacken relataram mais de $3,1 mil milhões em perdas totais por exploits em 2025.

O incidente pode motivar os desenvolvedores a reconsiderar como implementam a lógica personalizada dos contratos inteligentes. Os observadores da indústria sugerem que as plataformas provavelmente aumentarão os gastos em auditorias de segurança, implementarão sistemas de monitoramento em tempo real e expandirão programas de recompensas por falhas que pagam aos pesquisadores por identificar vulnerabilidades antes que os atacantes possam explorá-las.

Termos-chave em finanças descentralizadas

O valor total bloqueado refere-se à quantidade de criptomoedas depositadas em um protocolo de finanças descentralizadas, servindo como uma medida do tamanho da plataforma e da confiança do usuário. Os empréstimos rápidos são empréstimos não garantidos que devem ser tomados emprestados e reembolsados dentro da mesma transação de blockchain, tipicamente utilizados para arbitragem, mas também explorados por atacantes. Os contratos inteligentes são programas autoexecutáveis em blockchains que aplicam automaticamente os termos de um acordo sem intermediários.

As funções de distribuição de liquidez gerem como a liquidez de negociação é alocada através de diferentes faixas de preços em uma troca descentralizada, com o objetivo de melhorar a eficiência do capital tanto para os traders quanto para os fornecedores de liquidez.

Reflexões finais

O encerramento do Bunni DEX ilustra os desafios financeiros e técnicos que as plataformas de finanças descentralizadas enfrentam após grandes falhas de segurança. A decisão da equipe de abrir o código de sua tecnologia antes do fechamento pode permitir que outros desenvolvedores aprendam com as vulnerabilidades da plataforma enquanto constroem projetos futuros.