Exchange Bunni Cierra Permanentemente Tras Hackeo de $8,4 Millones y Costos de Recuperación Insuperables

El exchange descentralizado Bunni ha anunciado que cerrará permanentemente tras un hackeo de $8,4 millones el mes pasado, ya que los fundadores señalaron que carecen del capital necesario para un relanzamiento seguro que costaría cifras de seis a siete dígitos solo en gastos de auditoría y monitoreo.

Bunni anunció el cierre permanente el miércoles, citando costos de recuperación insuperables tras el ataque que explotó la Función de Densidad de Liquidez de la plataforma en dos pools, weETH/ETH en Unichain y USDC/USDT en Ethereum.

El ataque drenó aproximadamente $8,4 millones en total de los dos pools, según el informe post-mortem de Bunni. Los fondos robados fueron transferidos mediante puente a Ethereum tras el exploit.

"También tomaría meses de desarrollo y esfuerzo de BD solo para que Bunni vuelva a donde estaba antes del exploit, lo cual no podemos permitirnos", tuiteó el DEX. "Por lo tanto, hemos decidido que es mejor cerrar Bunni".

Los usuarios pueden continuar retirando fondos a través del sitio web mientras el equipo finaliza el proceso legal para la distribución de la tesorería, excluyendo a sus propios miembros del pago, según el comunicado.

"Este hackeo muestra a la industria sin lugar a dudas que la lógica de liquidez personalizada necesita pruebas exhaustivas, ya que los préstamos flash introducen exploits de bajo riesgo", señaló a Decrypt Kadan Stadelmann, director de Tecnología de Komodo Platform.

"El exploit consistió en tres pasos: intercambio con fondos de préstamo flash, un gran número de retiros pequeños y luego un ataque sandwich", indicó el DEX en el informe post-mortem.

Los préstamos flash permiten tomar prestadas grandes cantidades sin garantía dentro de una sola transacción, mientras que los ataques sandwich obtienen ganancias manipulando artificialmente los precios alrededor de operaciones objetivo.

El atacante primero tomó un préstamo flash de 3M USDT, luego realizó múltiples intercambios de USDT a USDC, y el precio spot del pool fue llevado a 5.000, correspondiendo a 1 USDC = 1,68 USDT, indicó el informe.

"El uso de préstamos flash por parte del atacante es notable desde una perspectiva AML. Los préstamos flash permiten a los actores acceder a grandes cantidades de liquidez sin garantía y reembolsar dentro de una sola transacción", afirmó a Decrypt Dmitry Machikhin, CEO de BitOK.

"Tras el hackeo, es muy probable que las ganancias fueran distribuidas en múltiples cadenas para distanciarlas de su origen ilícito", agregó.

El exchange confirmó que planea distribuir los activos restantes de la tesorería a los titulares de BUNNI, LIT y veBUNNI según una instantánea, pendiente de validación legal.

"Los contratos inteligentes de Bunni v2 han sido relicenciados de BUSL a MIT, permitiendo a todos utilizar nuestras innovaciones como LDFs, tarifas surge y reequilibrio autónomo", señaló el equipo, añadiendo que esperan que sus contribuciones tecnológicas beneficien al ecosistema DeFi más amplio.

Bunni indicó que está trabajando con las autoridades para recuperar activos y ha enviado un mensaje on-chain ofreciendo al atacante el 10% de los fondos robados si devuelve el resto, una oferta que quedó sin respuesta.

La brecha de Bunni se suma a la creciente crisis de seguridad cripto de 2025, con hackers robando más de $2.000 millones en activos digitales este año, según la firma de análisis blockchain Elliptic.

Los hackers vinculados a Corea del Norte representan la mayoría de esas pérdidas, marcando el total anual más grande registrado.