Bunni DEX chiude dopo un hack da 8,4 milioni di dollari mentre ottobre colpisce un altro progetto crypto

Il protocollo di exchange decentralizzato Bunni ha annunciato ufficialmente la sua chiusura dopo aver subito un exploit da 8.4 milioni di dollari il mese scorso.

Questo segna il secondo progetto crypto a interrompere le operazioni in ottobre, dopo la Kadena Organization, che ha anch’essa deciso di ritirarsi dal suo progetto a causa delle sfide in corso.

L’hack di Bunni: cosa è successo?

Il 2 settembre, un attaccante ha rubato 8.4 milioni di dollari dall’exchange Bunni. In un dettagliato rapporto post-mortem, la piattaforma ha spiegato che l’hacker ha sfruttato un bug di arrotondamento nella logica di prelievo dello smart contract, utilizzando una combinazione di flashloan, micro-prelievi e sandwich attack.

La vulnerabilità ha permesso all’attaccante di ridurre e gonfiare artificialmente la liquidità totale del pool, estraendo profitti da swap manipolati. Bunni ha osservato che due pool — weETH/ETH su Unichain e USDC/USDT su Ethereum — sono stati colpiti. Tuttavia, il pool più grande, Unichain USDC/USD₮0, è sfuggito all’exploit a causa di una liquidità flashloan insufficiente.

“Questo exploit è stato un evento terribile che ha colpito duramente sia gli utenti di Bunni che il nostro team. Siamo un piccolo team di 6 persone appassionate di DeFi e determinate a far progredire il settore. Abbiamo speso anni della nostra vita e milioni di dollari per lanciare Bunni, perché crediamo fermamente che sia il futuro degli AMM e che arriverà a processare trilioni di dollari in valore,” ha scritto il team.

I dati di DefiLlama hanno mostrato che dopo l’hack, il Total Value Locked (TVL) di Bunni è sceso da 50.82 milioni di dollari a soli 1.3 milioni di dollari in un mese, segnando un calo del 97.44%.

Bunni’s TVL Before and After The Hack. Source: DefiLlama

L’exploit da 8.4 milioni di dollari costringe il DEX a interrompere le operazioni

Nonostante molteplici tentativi di recupero dall’incidente, inclusa una proposta che avrebbe permesso all’attaccante di tenere il 10% dei fondi rubati se avesse restituito il resto, i tentativi si sono rivelati infruttuosi.

In un recente aggiornamento, Bunni ha annunciato la decisione di cessare le operazioni, citando il forte stress causato dall’exploit. Il team ha osservato che un rilancio richiederebbe audit completi e monitoraggio costante, con costi stimati tra centinaia di migliaia e milioni di dollari, superando il capitale disponibile.

“Ci vorrebbero anche mesi di sviluppo e sforzi di business development solo per riportare Bunni al punto in cui era prima dell’exploit, cosa che non possiamo permetterci. Pertanto, abbiamo deciso che è meglio chiudere Bunni,” si legge nell’annuncio.

Bunni ha informato i suoi utenti che possono prelevare i fondi tramite il sito web. Inoltre, sulla base di uno snapshot, il team prevede di distribuire gli asset rimanenti del tesoro ai possessori di BUNNI, LIT e veBUNNI, escludendo i membri del team.

I dettagli della distribuzione saranno pubblicati dopo il completamento delle procedure legali. Nel frattempo, il team sta collaborando con le forze dell’ordine nel tentativo di recuperare i fondi rubati.

“Gli smart contract Bunni v2 sono stati rilicenziati da BUSL a MIT, consentendo a tutti di utilizzare le nostre innovazioni come LDF, surge fees e il ribilanciamento autonomo. Abbiamo fatto avanzare il settore degli AMM di una generazione, e sarebbe un peccato se i nostri sforzi andassero sprecati,” ha aggiunto il team.

Le piattaforme e gli exchange crypto affrontano minacce crescenti, con incidenti come quello di Bunni che sottolineano la necessità di una forte sicurezza. L’industria ha perso 127.06 milioni di dollari a settembre, con 20 attacchi su larga scala registrati.

Oltre ai motivi di sicurezza, anche le condizioni di mercato volatili hanno costretto le piattaforme a lasciare il mercato. Ieri, la Kadena Organization ha cessato tutte le operazioni commerciali, lasciando la blockchain Kadena ai miner indipendenti.