DEX Bunni sofre ataque a contrato inteligente e perde US$ 2,3 milhões

• Bunni DEX perde US$ 2,3 milhões em stablecoins
• A exploração ocorreu devido a uma falha na Função de Distribuição de Liquidez
• 2025 já totaliza mais de US$ 3,1 bilhões em perdas

A exchange descentralizada Bunni confirmou que sofreu um exploit em seu smart contract que resultou na perda de aproximadamente US$ 2,3 milhões em stablecoins. O ataque, ocorrido em 2 de setembro, levou a exchange a suspender todas as funções de smart contract em suas redes como medida de precaução.

"Nosso aplicativo foi afetado por uma falha de segurança. Como precaução, pausamos toda a funcionalidade de smart contract em todas as redes. Nossa equipe está investigando ativamente e fornecerá atualizações em breve", disse a Bunni em uma publicação no X.

🚨 O aplicativo Bunni foi afetado por uma exploração de segurança. Como precaução, pausamos todas as funções de smart contract em todas as redes. Nossa equipe está investigando ativamente e fornecerá atualizações em breve. Obrigado pela sua paciência.

— Bunni (@bunni_xyz) 2 de setembro de 2025

A empresa de segurança BlockSec foi uma das primeiras a detectar a atividade anômala. O invasor explorou uma vulnerabilidade na Liquidity Distribution Function (LDF), um recurso exclusivo da Bunni projetado para otimizar a alocação entre diferentes faixas de preço e permitir estratégias mais complexas do que as do Uniswap padrão.

ALERTA! Nosso sistema detectou uma transação suspeita direcionada ao contrato da @bunni_xyz na #Ethereum, e a perda é de aproximadamente US$ 2,3 milhões. Por favor, tomem providências o quanto antes.

—BlockSec Phalcon (@Phalcon_xyz) 2 de setembro de 2025

O ataque consistiu em múltiplas transações que distorceram a lógica de rebalanceamento do pool, permitindo a retirada de mais tokens do que estavam disponíveis. Após repetir o processo diversas vezes, o invasor consolidou os fundos em uma única carteira Ethereum, agora com US$ 1,33 milhão em USDC e US$ 1,04 milhão em USDT.

O incidente ocorre em um momento crucial para a Bunni, que recentemente atingiu um valor total bloqueado de US$ 60 milhões e ultrapassou US$ 1 bilhão em volume de negociações em agosto. Lançada em fevereiro, a plataforma opera tanto na Ethereum quanto na Unichain, utilizando a tecnologia Uniswap V4.

Este foi o primeiro grande ataque a protocolos DeFi em setembro, após um agosto marcado por perdas significativas. Somente no mês passado, 16 incidentes resultaram em perdas totais de US$ 163 milhões, incluindo o roubo de US$ 91 milhões de uma baleia de Bitcoin por meio de engenharia social e um ataque de US$ 48 milhões à exchange turca BtcTurk.

Com o ataque à Bunni, as perdas acumuladas em 2025 já ultrapassam US$ 3,1 bilhões, superando os US$ 2,2 bilhões registrados em todo o ano de 2024 e reforçando os riscos de segurança que ainda desafiam o setor DeFi.