Bunni DEX conferma la chiusura dopo aver perso 8,4 milioni di dollari nell’exploit di settembre

In un nuovo duro colpo per l’industria della finanza decentralizzata, Bunni ha annunciato la sua chiusura a seguito di un grave exploit che ha interrotto le sue operazioni.

Bunni, l’exchange decentralizzato noto per le sue innovazioni in termini di liquidità, ha ufficialmente chiuso dopo un grave exploit che ha prosciugato oltre 8,4 milioni di dollari dai fondi degli utenti.

La decisione è stata annunciata il 23 ottobre tramite l’account ufficiale X del progetto, dove il team ha dichiarato che l’attacco aveva bloccato la crescita e reso impossibile permettersi un rilancio sicuro. La chiusura segna la fine di uno degli exchange DeFi tecnicamente più ambiziosi costruiti sui hook Uniswap (UNI) V4.

L’hack lascia il progetto senza possibilità di recupero

L’attacco, che ha preso di mira i principali smart contract Ethereum (ETH) e Unichain di Bunni, è avvenuto all’inizio di settembre. Gli aggressori hanno sfruttato una vulnerabilità nella Liquidity Distribution Function del progetto, una funzione progettata per ottimizzare i rendimenti dei liquidity provider, permettendo loro di prelevare più asset di quanto spettasse tramite manipolazione di flash loan ed errori di arrotondamento.

Sono stati sottratti circa 8,4 milioni di dollari, principalmente in USDC e USDT, prima che il team bloccasse le operazioni dei contratti. È stata offerta una ricompensa del 10% per il recupero dei fondi, ma l’attaccante non ha mai risposto. Nonostante i precedenti audit di Trail of Bits e Cyfrin, il bug è stato classificato come un “difetto a livello logico” piuttosto che un errore di implementazione.

Dopo l’hack, il total value locked di Bunni è sceso da oltre 60 milioni di dollari a quasi zero, con le attività di trading e sviluppo completamente ferme.

Addio open-source e piano di compensazione per gli utenti

Nella dichiarazione di chiusura, il team di Bunni ha affermato che sarebbero stati necessari “sei o sette cifre” in costi di audit e monitoraggio, oltre a mesi di sviluppo, per riprendere le operazioni in sicurezza, una spesa che non poteva sostenere.

Gli utenti potranno comunque prelevare i fondi tramite il sito web di Bunni fino a nuovo avviso. Gli asset rimanenti del tesoro saranno distribuiti ai detentori di BUNNI, LIT e veBUNNI in base a uno snapshot una volta concluso il processo legale. I membri del team saranno esclusi dalla distribuzione.

Come ultima mossa, Bunni ha rilicenziato i suoi smart contract v2 da BUSL a MIT, rendendo le sue tecnologie, inclusi LDF, surge fees e il ribilanciamento autonomo, liberamente disponibili per altri sviluppatori. Il team ha dichiarato di continuare a collaborare con le forze dell’ordine per recuperare i fondi rubati.

La chiusura si aggiunge a un anno difficile per la sicurezza blockchain, con oltre 3,1 miliardi di dollari persi in hack ed exploit fino ad ora nel 2025.