Un nuevo ataque ha golpeado los fondos LP en Ethereum: el protocolo Bunni, especializado en la gestión de liquidez, ha pausado temporalmente los contratos después de un retiro anómalo estimado entre aproximadamente 2.3 y 2.4 millones de dólares – según lo informado por The Block y en línea con los riesgos analizados en el Informe de Seguridad de OpenZeppelin. Los análisis iniciales indican que el exploit puede haber aprovechado una vulnerabilidad en la función de distribución de liquidez, alterando inapropiadamente las participaciones de LP.
Según los datos recopilados por nuestro equipo de análisis en cadena, actualizados al 2 de septiembre de 2025, las transacciones sospechosas muestran patrones repetidos y transferencias fraccionadas a múltiples direcciones, consistentes con un ataque destinado a explotar el reequilibrio. Nuestras verificaciones cruzadas en exploradores públicos indican retiros calibrados en USDC y USDT por aproximadamente 1.33 millones de dólares y 1.04 millones de dólares respectivamente. Los analistas de la industria señalan que las vulnerabilidades relacionadas con la lógica de reequilibrio y los oráculos son una causa recurrente en los incidentes recientes de DeFi.
En breve: lo que sabemos hasta ahora sobre el hackeo de Bunni DEX
¿Quién: Bunni, protocolo de gestión de liquidez en Ethereum.
Qué: Drenaje de fondos de contratos inteligentes y suspensión operativa como medida de seguridad preventiva.
Dove: red Ethereum, con movimientos rastreables en la cadena.
Cuándo: Evento detectado en los días previos al 2 de septiembre de 2025; las investigaciones aún están en curso.
Cómo: A través de la manipulación de los mecanismos de reequilibrio de liquidez, que llevaron a errores de cálculo en las acciones de LP.
Línea de Tiempo de Eventos
Secuencia Esencial
Detección de movimientos inusuales en pools con stablecoin, particularmente USDC y USDT.
Comunicación oficial del equipo, confirmación del incidente y suspensión de contratos para contener el daño.
Análisis preliminar en cadena: pérdidas estimadas entre aproximadamente 2.3 y 2.4 millones de dólares, con retiros repetidos y montos modulados.
Iniciación de verificaciones técnicas sobre la función de distribución de liquidez y el mecanismo de reequilibrio.
Detalles en cadena
Activos afectados: stablecoin USDC ( aproximadamente 1.33 millones de dólares ) y USDT ( aproximadamente 1.04 millones de dólares ), que en conjunto convergen en la estimación de pérdidas totales.
Patrón: una serie de operaciones dirigidas con montos calibrados para forzar un rebalanceo desfavorable para los LPs.
Direcciones y hashes: examinados por diversas empresas de análisis de blockchain, aunque las referencias directas a exploradores aún no se han publicado públicamente.
Varios medios, incluidos The Block y BitcoinEthereumNews, han informado sobre estos elementos, destacando patrones repetidos de transferencias sospechosas en las horas previas a la suspensión de los contratos.
Mecánica de la Vulnerabilidad
Cómo funciona la distribución de liquidez
Bunni emplea una función de distribución de liquidez que permite que el capital se asigne en rangos de precios específicos, optimizando los retornos de LP a través del reequilibrio inducido por transacciones. El objetivo es limitar la inercia de los fondos; sin embargo, este enfoque puede abrir nuevas superficies de ataque si la lógica de reequilibrio no es lo suficientemente robusta.
Dónde se quedó atascado el sistema
Manipulación de la curva a través de operaciones comerciales dirigidas y repetidas.
Cálculos de posiciones de LP que, tras el reequilibrio, resultaron en acciones incorrectas.
Drenaje gradual de fondos, orquestado para evadir la activación de disparadores defensivos automáticos.
En esencia, una lógica de reequilibrio no resiliente permitió a los atacantes extraer valor de los LPs sin activar inmediatamente los mecanismos de alerta. Un aspecto interesante es la modularidad de los montos, indicativa de una estrategia bien afinada.
Impacto y Números
Pérdida estimada: aproximadamente 2.3–2.4 millones de dólares.
Tokens involucrados: USDC y USDT.
Estado operativo: los contratos han sido pausados y las funciones inteligentes están actualmente suspendidas.
Punto crítico: el conteo de acciones de LP y la gestión de liquidez durante los procesos de reequilibrio.
Reacciones Oficiales y Contexto
El equipo de Bunni ha anunciado la suspensión de contratos como una medida de seguridad inmediata, aclarando que se está llevando a cabo un análisis posterior al incidente para identificar y corregir la vulnerabilidad. En este momento, no se han proporcionado citas directas ni declaraciones oficiales con marcas de tiempo verificables; las investigaciones están en curso y la prioridad sigue siendo asegurar los contratos y la liquidez restante.
Medidas de Mitigación
Auditorías en curso sobre las funciones de reequilibrio y los mecanismos de contabilidad de LP, incluidos las pruebas en escenarios adversarios.
Limitación del tamaño de transacción que puede desencadenar un reequilibrio sensible.
Implementación de un interruptor de circuito y monitoreo en tiempo real de deslizamientos y variaciones anormales en las cotizaciones de LP.
Uso de timelock para cambios críticos y adopción de operaciones multisig para funciones administrativas.
Creación de fondos de emergencia o cobertura de seguro para mitigar los impactos en los usuarios.
Estas contramedidas son esenciales en la gestión de riesgos de DeFi.
Guía operativa para protocolos de liquidez
Ejecución de pruebas de estrés y simulaciones de ataques económicos antes de los lanzamientos oficiales.
Implementación de limitación de tasas en funciones que afectan la distribución.
Monitoreo activo de métricas de alarma como deslizamiento, cambios en las participaciones de LP y flujos inesperados a las billeteras.
Actualización periódica de los procedimientos de respuesta a incidentes y simulacros para validar su efectividad.
Uso de oráculos confiables e introducción de guardrails matemáticos para prevenir errores en los cálculos.
Próximos pasos para usuarios y desarrolladores
Usuarios: Monitorear actualizaciones oficiales del protocolo y revisar los registros en cadena para cualquier cambio en los fondos afectados.
Desarrolladores: Completar el informe técnico post-mortem, lanzar parches temporales y planificar una auditoría independiente centrada en la función de gestión de liquidez y los cálculos de LP.
Qué Monitorizar
Hash de Tx y direcciones confirmadas en el explorador como Etherscan o Blockscout para una trazabilidad completa.
Actualizaciones sobre la liberación de parches y la línea de tiempo esperada para la reactivación de contratos.
Informes forenses de empresas de análisis de blockchain y resultados de auditoría pública.
¿Existen programas de recompensas o acuerdos para la devolución de fondos malversados?
Conclusiones
El ataque a Bunni muestra cómo las innovaciones en la distribución de liquidez pueden introducir nuevas superficies de ataque cuando el mecanismo de reequilibrio no es lo suficientemente robusto.
La combinación de la manipulación de curvas y errores en los cálculos de LP hizo posible drenar aproximadamente 2.3–2.4 millones de dólares en stablecoins
Se debe decir que la prioridad ahora es completar un análisis post-incidente transparente, corregir la lógica de gestión de liquidez e introducir controles defensivos más rigurosos.
Números y direcciones (resumen)
Cantidad estimada: aproximadamente 2.3–2.4 millones de dólares.
Token: USDC (aproximadamente 1.33M) y USDT (aproximadamente 1.04M).
Estado: contratos en espera, investigaciones en curso.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Bunni DEX bajo ataque: aproximadamente $2.4 millones en monedas estables robadas en Ethereum, contratos p...
Un nuevo ataque ha golpeado los fondos LP en Ethereum: el protocolo Bunni, especializado en la gestión de liquidez, ha pausado temporalmente los contratos después de un retiro anómalo estimado entre aproximadamente 2.3 y 2.4 millones de dólares – según lo informado por The Block y en línea con los riesgos analizados en el Informe de Seguridad de OpenZeppelin. Los análisis iniciales indican que el exploit puede haber aprovechado una vulnerabilidad en la función de distribución de liquidez, alterando inapropiadamente las participaciones de LP.
Según los datos recopilados por nuestro equipo de análisis en cadena, actualizados al 2 de septiembre de 2025, las transacciones sospechosas muestran patrones repetidos y transferencias fraccionadas a múltiples direcciones, consistentes con un ataque destinado a explotar el reequilibrio. Nuestras verificaciones cruzadas en exploradores públicos indican retiros calibrados en USDC y USDT por aproximadamente 1.33 millones de dólares y 1.04 millones de dólares respectivamente. Los analistas de la industria señalan que las vulnerabilidades relacionadas con la lógica de reequilibrio y los oráculos son una causa recurrente en los incidentes recientes de DeFi.
En breve: lo que sabemos hasta ahora sobre el hackeo de Bunni DEX
¿Quién: Bunni, protocolo de gestión de liquidez en Ethereum.
Qué: Drenaje de fondos de contratos inteligentes y suspensión operativa como medida de seguridad preventiva.
Dove: red Ethereum, con movimientos rastreables en la cadena.
Cuándo: Evento detectado en los días previos al 2 de septiembre de 2025; las investigaciones aún están en curso.
Cómo: A través de la manipulación de los mecanismos de reequilibrio de liquidez, que llevaron a errores de cálculo en las acciones de LP.
Línea de Tiempo de Eventos
Secuencia Esencial
Detección de movimientos inusuales en pools con stablecoin, particularmente USDC y USDT.
Comunicación oficial del equipo, confirmación del incidente y suspensión de contratos para contener el daño.
Análisis preliminar en cadena: pérdidas estimadas entre aproximadamente 2.3 y 2.4 millones de dólares, con retiros repetidos y montos modulados.
Iniciación de verificaciones técnicas sobre la función de distribución de liquidez y el mecanismo de reequilibrio.
Detalles en cadena
Activos afectados: stablecoin USDC ( aproximadamente 1.33 millones de dólares ) y USDT ( aproximadamente 1.04 millones de dólares ), que en conjunto convergen en la estimación de pérdidas totales.
Patrón: una serie de operaciones dirigidas con montos calibrados para forzar un rebalanceo desfavorable para los LPs.
Direcciones y hashes: examinados por diversas empresas de análisis de blockchain, aunque las referencias directas a exploradores aún no se han publicado públicamente.
Varios medios, incluidos The Block y BitcoinEthereumNews, han informado sobre estos elementos, destacando patrones repetidos de transferencias sospechosas en las horas previas a la suspensión de los contratos.
Mecánica de la Vulnerabilidad
Cómo funciona la distribución de liquidez
Bunni emplea una función de distribución de liquidez que permite que el capital se asigne en rangos de precios específicos, optimizando los retornos de LP a través del reequilibrio inducido por transacciones. El objetivo es limitar la inercia de los fondos; sin embargo, este enfoque puede abrir nuevas superficies de ataque si la lógica de reequilibrio no es lo suficientemente robusta.
Dónde se quedó atascado el sistema
Manipulación de la curva a través de operaciones comerciales dirigidas y repetidas.
Cálculos de posiciones de LP que, tras el reequilibrio, resultaron en acciones incorrectas.
Drenaje gradual de fondos, orquestado para evadir la activación de disparadores defensivos automáticos.
En esencia, una lógica de reequilibrio no resiliente permitió a los atacantes extraer valor de los LPs sin activar inmediatamente los mecanismos de alerta. Un aspecto interesante es la modularidad de los montos, indicativa de una estrategia bien afinada.
Impacto y Números
Pérdida estimada: aproximadamente 2.3–2.4 millones de dólares.
Tokens involucrados: USDC y USDT.
Estado operativo: los contratos han sido pausados y las funciones inteligentes están actualmente suspendidas.
Punto crítico: el conteo de acciones de LP y la gestión de liquidez durante los procesos de reequilibrio.
Reacciones Oficiales y Contexto
El equipo de Bunni ha anunciado la suspensión de contratos como una medida de seguridad inmediata, aclarando que se está llevando a cabo un análisis posterior al incidente para identificar y corregir la vulnerabilidad. En este momento, no se han proporcionado citas directas ni declaraciones oficiales con marcas de tiempo verificables; las investigaciones están en curso y la prioridad sigue siendo asegurar los contratos y la liquidez restante.
Medidas de Mitigación
Auditorías en curso sobre las funciones de reequilibrio y los mecanismos de contabilidad de LP, incluidos las pruebas en escenarios adversarios.
Limitación del tamaño de transacción que puede desencadenar un reequilibrio sensible.
Implementación de un interruptor de circuito y monitoreo en tiempo real de deslizamientos y variaciones anormales en las cotizaciones de LP.
Uso de timelock para cambios críticos y adopción de operaciones multisig para funciones administrativas.
Creación de fondos de emergencia o cobertura de seguro para mitigar los impactos en los usuarios.
Estas contramedidas son esenciales en la gestión de riesgos de DeFi.
Guía operativa para protocolos de liquidez
Ejecución de pruebas de estrés y simulaciones de ataques económicos antes de los lanzamientos oficiales.
Implementación de limitación de tasas en funciones que afectan la distribución.
Monitoreo activo de métricas de alarma como deslizamiento, cambios en las participaciones de LP y flujos inesperados a las billeteras.
Actualización periódica de los procedimientos de respuesta a incidentes y simulacros para validar su efectividad.
Uso de oráculos confiables e introducción de guardrails matemáticos para prevenir errores en los cálculos.
Próximos pasos para usuarios y desarrolladores
Usuarios: Monitorear actualizaciones oficiales del protocolo y revisar los registros en cadena para cualquier cambio en los fondos afectados.
Desarrolladores: Completar el informe técnico post-mortem, lanzar parches temporales y planificar una auditoría independiente centrada en la función de gestión de liquidez y los cálculos de LP.
Qué Monitorizar
Hash de Tx y direcciones confirmadas en el explorador como Etherscan o Blockscout para una trazabilidad completa.
Actualizaciones sobre la liberación de parches y la línea de tiempo esperada para la reactivación de contratos.
Informes forenses de empresas de análisis de blockchain y resultados de auditoría pública.
¿Existen programas de recompensas o acuerdos para la devolución de fondos malversados?
Conclusiones
El ataque a Bunni muestra cómo las innovaciones en la distribución de liquidez pueden introducir nuevas superficies de ataque cuando el mecanismo de reequilibrio no es lo suficientemente robusto.
La combinación de la manipulación de curvas y errores en los cálculos de LP hizo posible drenar aproximadamente 2.3–2.4 millones de dólares en stablecoins
Se debe decir que la prioridad ahora es completar un análisis post-incidente transparente, corregir la lógica de gestión de liquidez e introducir controles defensivos más rigurosos.
Números y direcciones (resumen)
Cantidad estimada: aproximadamente 2.3–2.4 millones de dólares.
Token: USDC (aproximadamente 1.33M) y USDT (aproximadamente 1.04M).
Estado: contratos en espera, investigaciones en curso.