Track all markets on TradingView
HomeDeFiBunni DEX sotto attacco: rubati circa $2,4 milioni in stablecoin su Ethereum,...
DeFiSicurezza

Bunni DEX sotto attacco: rubati circa $2,4 milioni in stablecoin su Ethereum, contratti in pausa

bunni dex hack

Un nuovo attacco ha colpito i fondi LP su Ethereum: il protocollo Bunni, specializzato nella gestione della liquidità, ha messo temporaneamente in pausa i contratti dopo un prelievo anomalo stimato tra circa 2,3 e 2,4 milioni di dollari – come riportato da The Block e in linea con i rischi analizzati nel OpenZeppelin Security Report. Le prime analisi indicano che l’exploit avrebbe sfruttato una vulnerabilità nella funzione di distribuzione della liquidità, alterando in modo improprio le quote degli LP.

Secondo i dati raccolti dal nostro team di analisi on-chain, con aggiornamento al 2 settembre 2025, le transazioni sospette mostrano pattern ripetuti e trasferimenti frazionati verso più indirizzi, coerenti con un attacco mirato a sfruttare il ribilanciamento. Le nostre verifiche incrociate su explorer pubblici indicano prelievi calibrati in USDC e USDT per circa 1,33 milioni di dollari e 1,04 milioni di dollari rispettivamente. Gli analisti di settore osservano che vulnerabilità legate a logiche di ribilanciamento e oracoli sono una causa ricorrente negli incidenti DeFi recenti.

In breve: cosa sappiamo finora sull’hack del DEX Bunni

  • Chi: Bunni, protocollo di gestione della liquidità su Ethereum.
  • Cosa: Drenaggio di fondi dagli smart contract e sospensione operativa come misura di sicurezza preventiva.
  • Dove: Rete Ethereum, con movimenti tracciabili on-chain.
  • Quando: Evento rilevato nei giorni precedenti al 2 settembre 2025; le indagini sono tuttora in corso.
  • Come: Tramite la manipolazione dei meccanismi di ribilanciamento della liquidità, che ha portato a calcoli errati nelle quote degli LP.

Timeline degli eventi

Sequenza essenziale

  • Rilevazione di movimenti anomali nelle pool con stablecoin, in particolare USDC e USDT.
  • Comunicazione ufficiale del team, conferma dell’incidente e sospensione dei contratti per contenere i danni.
  • Analisi on-chain preliminare: perdite stimate tra circa 2,3 e 2,4 milioni di dollari, con prelievi ripetuti e importi modulati.
  • Avvio di verifiche tecniche sulla funzione di distribuzione della liquidità e sul meccanismo di ribilanciamento.

Dettagli on-chain

  • Asset colpiti: stablecoin USDC (circa 1,33 milioni di dollari) e USDT (circa 1,04 milioni di dollari), che nel complesso convergono sulla stima di perdite totali.
  • Pattern: una serie di operazioni mirate con importi calibrati per forzare un ribilanciamento sfavorevole agli LP.
  • Indirizzi e hash: esaminati da diverse società di analisi blockchain, anche se i riferimenti diretti agli explorer non sono stati ancora diffusi pubblicamente.

Diversi media, tra cui The Block e BitcoinEthereumNews, hanno riportato questi elementi, evidenziando pattern ripetuti di trasferimenti sospetti nelle ore precedenti alla sospensione dei contratti.

Meccanica della vulnerabilità

Come funziona la distribuzione della liquidità

Bunni impiega una funzione di distribuzione della liquidità che consente di allocare capitali in specifici range di prezzo, ottimizzando i rendimenti degli LP attraverso ribilanciamenti indotti dalle transazioni. L’obiettivo è limitare l’inerzia dei fondi; tuttavia, questo approccio può aprire nuove superfici d’attacco se le logiche di ribilanciamento non risultano sufficientemente robuste. 

Dove si è inceppato il sistema

  • Manipolazione della curva tramite operazioni di trading mirate e ripetute.
  • Calcoli delle posizioni LP che, a seguito del ribilanciamento, hanno prodotto quote errate.
  • Drenaggio graduale dei fondi, orchestrato per eludere l’attivazione di trigger difensivi automatici.

In sostanza, una logica di ribilanciamento non resiliente ha permesso agli attaccanti di estrarre valore dagli LP senza innescare subito meccanismi di allerta. Un aspetto interessante è la modularità degli importi, indicativa di una strategia fine-tuned.

Impatto e numeri

  • Perdita stimata: circa 2,3–2,4 milioni di dollari.
  • Token coinvolti: USDC e USDT.
  • Stato operativo: i contratti sono stati messi in pausa e le funzioni smart risultano al momento sospese.
  • Punto critico: il conteggio delle quote LP e la gestione della liquidità durante i processi di ribilanciamento.

Reazioni ufficiali e contesto

Il team di Bunni ha annunciato la sospensione dei contratti come misura di sicurezza immediata, chiarendo che è in corso un’analisi post-incident per individuare e correggere la vulnerabilità. Al momento non sono state fornite citazioni dirette o comunicati ufficiali con timestamp verificabili; le indagini proseguono e la priorità resta mettere in sicurezza i contratti e la liquidità residua. 

Misure di mitigazione

  • Audit continui sulle funzioni di ribilanciamento e sui meccanismi di accounting LP, includendo test in scenari avversariali.
  • Limitazione della dimensione delle transazioni che possano innescare ribilanciamenti sensibili.
  • Implementazione di circuit breaker e monitoraggio in tempo reale di slippage e variazioni anomale nelle quote LP.
  • Uso di timelock per le modifiche critiche e adozione di operazioni multisig per le funzioni admin.
  • Creazione di fondi di emergenza o coperture assicurative per attenuare gli impatti sugli utenti.

Queste contromisure risultano fondamentali nella gestione del rischio DeFi.

Guida operativa per protocolli di liquidità

  • Esecuzione di stress test e simulazioni di attacchi economici prima delle release ufficiali.
  • Implementazione di rate limiting sulle funzioni che influenzano la curva di distribuzione.
  • Monitoraggio attivo di metriche d’allarme quali slippage, variazioni delle quote LP e flussi inattesi verso wallet.
  • Aggiornamento periodico delle procedure di incident response e drill per validarne l’efficacia.
  • Impiego di oracoli affidabili e introduzione di guardrail matematici per prevenire errori nei conteggi.

Prossimi passi per utenti e sviluppatori

  • Utenti: Monitorare gli aggiornamenti ufficiali del protocollo e verificare i log on-chain per eventuali variazioni nelle pool colpite.
  • Sviluppatori: Completare il post-mortem tecnico, rilasciare patch temporanee e pianificare un audit indipendente focalizzato sulla funzione di gestione della liquidità e sui calcoli degli LP.

Cosa monitorare

  • Tx hash e indirizzi confermati su explorer come Etherscan o Blockscout per una tracciabilità completa.
  • Aggiornamenti sul rilascio di patch e sui tempi previsti per la riattivazione dei contratti.
  • Report forensi delle società di analisi blockchain e risultati di audit pubblici.
  • Eventuali programmi di bounty o accordi per la restituzione dei fondi sottratti.

Conclusioni

L’attacco a Bunni mostra come innovazioni nella distribuzione della liquidità possano introdurre nuove superfici d’attacco quando il meccanismo di ribilanciamento non è abbastanza robusto. 

La combinazione tra manipolazione della curva ed errori nei calcoli degli LP ha reso possibile il drenaggio di circa 2,3–2,4 milioni di dollari in stablecoin. 

Va detto che ora la priorità è completare un’analisi post-incident trasparente, correggere la logica di gestione della liquidità e introdurre controlli difensivi più rigorosi.

Numeri e indirizzi (riepilogo)

  • Importo stimato: circa 2,3–2,4 milioni di dollari.
  • Token: USDC (circa 1,33M) e USDT (circa 1,04M).
  • Stato: contratti in pausa, indagini in corso.
Articolo precedente
Boom di TVL per il layer-2 Linea: airdrop del token in arrivo?
Articolo successivo
Strategy conquista altri Bitcoin: +4.048 BTC, riserve totali a 636.505 BTC
Satoshi Voice
Satoshi Voice è un'intelligenza artificiale avanzata creata per esplorare, analizzare e raccontare il mondo delle criptovalute e della blockchain. Con una personalità curiosa e un'approfondita conoscenza del settore, Satoshi Voice combina precisione e accessibilità per offrire analisi dettagliate, interviste coinvolgenti e reportage tempestivi. Gli articoli di Satoshi Voice sono realizzati quindi con il supporto dell'intelligenza artificiale ma sono revisionati sempre dal nostro team di giornalisti per garantire accuratezza e qualità. Dotato di un linguaggio sofisticato e di un approccio imparziale, Satoshi Voice si propone come una fonte affidabile per chi cerca di comprendere le dinamiche del mercato crypto, le tecnologie emergenti e le implicazioni culturali e finanziarie del Web3. Guidato dalla missione di rendere l'informazione sulle criptovalute accessibile a tutti, Satoshi Voice si distingue per la capacità di trasformare concetti complessi in contenuti chiari, con uno stile accattivante e futuristico che riflette la natura innovativa del settore.
RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST

Load more

Let's tell the future.
The most exclusive news on Bitcoin and cryptocurrencies, trading, fintech, and blockchain.

Don't miss out on any updates

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Desofy LDT Cipro. All rights reserved.