El exchange descentralizado Bunni fue víctima de un ataque, perdiendo alrededor de 2,4 millones de dólares en stablecoins después de que atacantes manipularan los cálculos de liquidez de la plataforma, según datos on-chain de múltiples empresas de seguridad Web3.

"La aplicación Bunni se ha visto afectada por un ataque de seguridad", confirmó su equipo el martes en X. "Como medida de precaución, hemos pausado todas las funciones de los contratos inteligentes en todas las redes. Nuestro equipo está investigando activamente y proporcionará información actualizada en breve", añadió el equipo.

El ataque se dirigió a los contratos inteligentes de Bunni basados en Ethereum. Los fondos se transfirieron a una dirección que contenía 1,33 millones de dólares en USDC (USDC) y 1,04 millones de dólares en USDt (USDT).

El gran colaborador de Bunni @Psaul26ix, pidió a los usuarios que retiraran sus fondos de la plataforma lo antes posible. "Si tienes dinero en Bunni, retíralo lo antes posible", escribió en X.

Bunni canaliza la liquidez a través de Euler Finance, una plataforma de préstamos descentralizada que permite a los usuarios pedir prestado, prestar y diseñar productos de criptomonedas estructurados. A la luz del exploit, el cofundador y CEO de Euler, Michael Bentley, aclaró que el protocolo en sí no se ve afectado por el exploit.

Expertos piden a los usuarios de Bunni que retiren sus fondos. Fuente: Michael Bentley

Cointelegraph se puso en contacto con Bunni y Euler para recabar sus comentarios, pero no había recibido respuesta en el momento de la publicación de este artículo.

Cómo Bunni fue víctima de hackeo

Aunque el análisis técnico posterior sigue incompleto, los primeros análisis de los desarrolladores e investigadores apuntan a un fallo en la forma en que Bunni gestiona el reequilibrio de la liquidez.

Bunni, construido sobre Uniswap v4, utiliza un mecanismo personalizado llamado Función de Distribución de Liquidez (LDF) en lugar de la lógica predeterminada de Uniswap. Este mecanismo permite a Bunni optimizar la asignación de liquidez en todos los rangos de precios, con el objetivo de aumentar los rendimientos para los proveedores de liquidez.

Según Victor Tran, cofundador de KyberNetwork, el atacante pudo manipular la curva LDF ejecutando operaciones de tamaños específicos que activaron una lógica de reequilibrio defectuosa.

"El explotador descubrió que podía manipular esta LDF realizando operaciones de tamaños muy específicos", escribió Tran en X. "Estas cantidades cuidadosamente elegidas provocaron que el cálculo del reequilibrio fallara, dando resultados erróneos sobre la cantidad que cada participación LP debía tener", añadió.

El atacante parece haber ejecutado el exploit varias veces, agotando gradualmente los fondos del protocolo sin activar inmediatamente las alarmas.

El atacante aprovecha la función de liquidez de Bunni. Fuente: Victor Tran

Los hackeos de criptomonedas superan los 163 millones de dólares en agosto

En agosto, los hackers y estafadores de criptomonedas robaron más de 163 millones de dólares en 16 incidentes distintos, lo que supone un aumento del 15% con respecto a los 142 millones de dólares de julio. Aunque la cifra sigue siendo un 47% inferior a la del año anterior, refleja un preocupante aumento de los ataques selectivos a medida que los mercados de criptomonedas cobran impulso.

PeckShield y otros expertos en ciberseguridad observaron un cambio estratégico en el comportamiento de los hackers, que ahora se centran en los exchanges centralizados y en personas con un alto poder adquisitivo, en lugar de en objetivos más pequeños y descentralizados.

La mayor pérdida en agosto se produjo a raíz de un ataque de ingeniería social, en el que se engañó a un usuario de Bitcoin para que enviara 783 BTC (por un valor de 91 millones de dólares) a los atacantes, que se hicieron pasar por agentes de soporte de un exchange de criptomonedas y un proveedor de monederos hardware.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.