Bunni复盘840万美元漏洞攻击 智能合约舍入误差致损失
9月5日消息,据The Block报道,去中心化交易所Bunni发布了一份关于近期漏洞攻击事件的复盘报告,此次攻击导致平台损失约840万美元。报告显示,攻击影响了两个关键交易池:Unichain上的weETH/ETH交易对以及以太坊主网的USDC/USDT交易对。事件源自智能合约在更新用户闲置余额时采用的舍入方向存在问题,这一漏洞主要发生在用户提现环节,被攻击者利用进行闪电贷攻击。
具体而言,攻击者首先通过闪电贷借入300万枚USDT,并进行了多轮代币交换操作,从而操纵了交易池价格和流动性,使得USDC余额减少至仅28 wei。随后,攻击者利用44次小额提现中的舍入误差进一步耗尽USDC余额,导致交易池整体流动性大幅下降。最终,攻击者执行了一笔大额代币交换以人为抬高价格刻度,然后以操纵后的价格进行反向交换,成功获取非法收益。
Bunni在报告中强调,单独检验每次舍入操作时均未发现问题,但组合操作产生的复杂交互导致漏洞出现。这一事件凸显了智能合约在多操作组合场景下潜在的风险,尤其是涉及资金密集型交易和跨链操作时,微小的计算误差可能被恶意利用。
平台方面,Bunni已对智能合约的舍入代码进行更新,并恢复了跨链提款功能,但存款和交易功能仍处于暂停状态,以确保全面排查潜在风险。同时,平台正与执法部门紧密合作,追踪部分被转入Tornado Cash的资金,并提出向攻击者提供10%资金返还赏金,鼓励资金回流。Bunni还计划完善其测试框架,包括多操作组合模拟和极端场景压力测试,以确保系统在恢复后能够安全、稳定运行。
此次事件再次提醒整个去中心化金融(DeFi)行业,智能合约的设计与测试必须考虑复杂操作组合和边界条件。尤其是闪电贷、跨链交易等高风险操作,需要在开发阶段进行更严格的安全审查和代码审计。Bunni的复盘报告不仅提供了攻击事件的详细流程,也为DeFi项目在漏洞防范和应急响应方面提供了借鉴经验。
未来,随着去中心化金融生态不断发展,项目方必须不断提升智能合约的安全性和监控能力,强化风险管理机制,同时与社区和监管机构保持沟通,以减少类似事件的发生并保护用户资产安全。
