Bunni Protocol subisce una perdita di 2,3 milioni di dollari: segnalata transazione sospetta in ETH

Bunni Protocol, un sistema DeFi basato su Ethereum, avrebbe subito una perdita di circa 2,3 milioni di dollari in una transazione sospetta monitorata da BlockSec Phalcon, uno dei principali scanner di sicurezza blockchain. I dettagli dell’exploit non sono ancora chiari, ma l’attività segnalata sembra indicare un accesso non autorizzato, probabilmente legato a smart contract o a una vulnerabilità non corretta.

Cos’è Bunni Protocol?

Bunni è un token ERC-20 che avvolge e scambia gli NFT dei liquidity provider (LP) di Uniswap V3, semplificando la gestione e il trading di posizioni complesse sulla piattaforma. Il suo design è stato considerato lineare e audit di sicurezza precedenti (yAudit, agosto 2022) avevano individuato poche superfici di attacco.

Tuttavia, era già stata rilevata una vulnerabilità critica nel contratto PeripheryPayments: la funzione sweepToken(), priva di controlli sugli accessi, poteva essere utilizzata da chiunque per trasferire token fuori da BunniHub. Non è chiaro se questo bug sia stato corretto prima dell’exploit avvenuto questa settimana, ma non si esclude che sia collegato alla perdita

Il ruolo di BlockSec Phalcon

La piattaforma Phalcon di BlockSec si concentra sull’identificazione in tempo reale di transazioni malevole sulla blockchain, scansionando sia le transazioni in mempool sia i dati on-chain. Ha già un track record di interventi che hanno permesso a diversi progetti DeFi di evitare perdite rilevanti, grazie a sistemi di allerta immediata e a misure di risposta rapida.

In questo caso, Phalcon ha segnalato quasi subito le transazioni sospette relative a Bunni.

Impatto sul mercato e sulla community

Il prezzo del token Bunni e la fiducia nei pool di liquidità sono destinati a registrare forte volatilità a seguito di un exploit di questa entità (2,3 milioni di dollari in un’unica operazione). Anche le procedure di sicurezza su Ethereum finiscono così nuovamente sotto la lente, in un contesto DeFi che continua a mostrare criticità legate alle interazioni avanzate con gli smart contract.

Nei forum della community, gli sviluppatori stanno valutando i danni. Non si escludono patch o la sospensione temporanea del contratto. Le prossime 24-48 ore saranno decisive per capire se i fondi potranno essere recuperati o finiranno definitivamente nelle mani dell’exploiter.