La piattaforma di scambio decentralizzata BunniXYZ perde 8,4 milioni di dollari in un exploit di liquidità

La exchange decentralizzata (DEX) BunniXYZ avrebbe perso 8,4 milioni di dollari a causa di un exploit di sicurezza basato sulla liquidità.

Secondo la società di sicurezza on-chain Hacken, 6 milioni di dollari dei fondi della DEX sono stati rubati tramite la blockchain Unichain e 2,4 milioni tramite Ethereum. Tutti i fondi su Unichain sono stati poi trasferiti su Ethereum utilizzando Across Protocol.

Confermando l'attacco in un tweet, BunniXYZ ha dichiarato di aver sospeso tutte le attività degli smart contract sulla propria rete e di essere “attivamente impegnata nelle indagini” sulle circostanze dell'attacco. Ha aggiunto che fornirà aggiornamenti a breve.

Fondata a febbraio 2025, BunniXYZ si basa sull'automated market maker Uniswap v4 e utilizza principalmente le blockchain Ethereum e Unichain. Attualmente ha un Total Value Locked (TVL) cross-chain di poco superiore a 50 milioni di dollari secondo DeFiLlama, anche se ad agosto aveva superato gli 80 milioni.

Michael Bentley, co-fondatore del protocollo di lending Euler, ha consigliato agli utenti di rimuovere i propri fondi da Bunni in un tweet, aggiungendo che, sebbene la DEX riequilibri i fondi dentro e fuori da Euler, il protocollo di lending "non è stato colpito né è a rischio." Euler ha subito un importante exploit nel 2023, durante il quale gli hacker hanno rubato quasi 200 milioni di dollari, la maggior parte dei quali è stata successivamente recuperata.

Cosa è successo?

Secondo l'analista on-chain Victor Tran, co-fondatore di Kyber Network, gli hacker hanno manipolato la “liquidity curve” di Bunni, nota anche come LDF (Liquidity Density Function). Questo è il sistema che calcola quanta liquidità extra esiste all'interno della exchange e riequilibra il pool di liquidità per mantenere il giusto rapporto tra i token.

Tran ha affermato che gli hacker hanno manipolato questa LDF “effettuando trade di dimensioni molto specifiche.” Questo ha causato un malfunzionamento nel calcolo del riequilibrio, producendo risultati errati su quanto ogni quota del pool di liquidità dovesse possedere.

Ripetendo questo processo, gli hacker avrebbero prelevato più token di quanti avrebbero dovuto poter prelevare da Bunni.

Bunni stessa non ha ancora confermato il meccanismo dietro l'attacco.