DEX Bunni subisce un attacco al contratto intelligente, perdendo 2,3 milioni di dollari

• Bunni DEX perde 2,3 milioni di dollari in stablecoin
• L’exploit è avvenuto tramite una falla nella Liquidity Distribution Function
• Il 2025 conta già oltre 3,1 miliardi di dollari di perdite

La piattaforma di exchange decentralizzato Bunni ha confermato di aver subito un exploit di uno smart contract che ha portato alla perdita di circa 2,3 milioni di dollari in stablecoin. L’attacco, avvenuto il 2 settembre, ha spinto l’exchange a sospendere tutte le funzioni degli smart contract sulle sue reti come misura precauzionale.

"La nostra applicazione è stata colpita da una vulnerabilità di sicurezza. Come precauzione, abbiamo sospeso tutte le funzionalità degli smart contract su tutte le reti. Il nostro team sta indagando attivamente e fornirà aggiornamenti a breve," ha dichiarato Bunni in un post su X.

🚨 L’app Bunni è stata colpita da un exploit di sicurezza. Come precauzione, abbiamo sospeso tutte le funzioni degli smart contract su tutte le reti. Il nostro team sta indagando attivamente e fornirà aggiornamenti a breve. Grazie per la vostra pazienza.

— Bunni (@bunni_xyz) 2 settembre 2025

La società di sicurezza BlockSec è stata tra le prime a rilevare l’attività anomala. L’attaccante ha sfruttato una vulnerabilità nella Liquidity Distribution Function (LDF), una caratteristica unica di Bunni progettata per ottimizzare l’allocazione tra diverse fasce di prezzo e consentire strategie più complesse rispetto a quelle standard di Uniswap.

ALLERTA! Il nostro sistema ha rilevato una transazione sospetta che prende di mira il contratto di @bunni_xyz su #Ethereum, e la perdita è di circa 2,3 milioni di dollari. Si prega di agire il prima possibile.

—BlockSec Phalcon (@Phalcon_xyz) 2 settembre 2025

L’attacco è consistito in più transazioni che hanno distorto la logica di ribilanciamento del pool, consentendo il prelievo di più token rispetto a quelli effettivamente disponibili. Dopo aver ripetuto il processo più volte, l’attaccante ha consolidato i fondi in un unico wallet su Ethereum, ora con 1,33 milioni di dollari in USDC e 1,04 milioni di dollari in USDT.

L’incidente arriva in un momento cruciale per Bunni, che di recente aveva raggiunto un total value locked di 60 milioni di dollari e superato 1 miliardo di dollari di volume di trading in agosto. Lanciata a febbraio, la piattaforma opera sia su Ethereum che su Unichain, sfruttando la tecnologia Uniswap V4.

Questo è stato il primo grande attacco ai protocolli DeFi di settembre, dopo un agosto segnato da perdite significative. Solo lo scorso mese, 16 incidenti hanno causato perdite per un totale di 163 milioni di dollari, compreso il furto di 91 milioni di dollari a una whale di Bitcoin tramite social engineering e un attacco da 48 milioni di dollari all’exchange turco BtcTurk.

Con l’attacco a Bunni, le perdite accumulate nel 2025 superano già i 3,1 miliardi di dollari, superando i 2,2 miliardi registrati in tutto il 2024 e rafforzando i rischi di sicurezza che ancora sfidano il settore DeFi.