- A plataforma DeFi Bunni sofreu uma ataque hacker com perda de cerca de US$ 2,4 milhões
- A invasão ocorreu após a exploração de uma falha no código de redistribuição de liquidez
- Além disso, usuários receberam orientação de retirar seus fundos imediatamente
A plataforma DeFi Bunni sofreu um ataque que drenou aproximadamente US$ 2,4 milhões em stablecoins. A invasão ocorreu após a exploração de uma falha no código de redistribuição de liquidez. Após identificar o problema, a equipe técnica suspendeu as operações de contratos inteligentes para evitar perdas adicionais. Além disso, usuários foram orientados a retirar seus fundos imediatamente. A resposta rápida buscou conter danos maiores e garantir maior proteção à comunidade.
Vulnerabilidade em lógica personalizada possibilitou o roubo
“O aplicativo Bunni foi afetado por uma falha de segurança”, disse a equipe no X. O invasor drenou fundos do protocolo para o endereço “0xe04…64f2b” e manteve US$ 1,33 milhão em USDC e US$ 1,04 milhão em stablecoins USDT.
🚨 The Bunni app has been affected by a security exploit. As a precaution, we have paused all smart contract functions on all networks. Our team is actively investigating and will provide updates soon. Thank you for your patience.
— Bunni (@bunni_xyz) September 2, 2025
A função Liquidity Distribution Function (LDF) da Bunni, baseada no Uniswap v4, contém um código próprio voltado à redistribuição de liquidez. Essa lógica permitia uma alocação mais flexível entre faixas de preço. Porém, o invasor manipulou o sistema ao realizar transações cuidadosamente planejadas.
Com isso, conseguiu distorcer os cálculos de rebalanceamento. O erro gerou entregas incorretas de valores, o que permitiu a retirada gradual de milhões em stablecoins. Assim, o ataque aproveitou a ausência de checagens robustas nas fórmulas internas. A falha não atingiu a base do Uniswap, mas sim o código adicional criado pela própria Bunni.
Plataforma adota medidas emergenciais para proteger usuários
A equipe interrompeu imediatamente os contratos ativos em todas as redes onde o protocolo opera. Essa ação visou evitar novas retiradas e proteger os recursos restantes. Além disso, a Bunni pediu que os usuários removam seus fundos assim que possível. A empresa de segurança PeckShield rastreou os movimentos suspeitos e confirmou o padrão de exploração.
Apesar da gravidade do incidente, a plataforma optou por manter comunicação aberta com a comunidade. A equipe agora trabalha em ajustes no código para garantir maior resiliência. O foco está em reforçar a arquitetura da lógica de liquidez e reduzir riscos futuros.
