PANews 5 сентября сообщает, что по данным The Block, децентрализованная биржа Bunni во вторник выпустила отчет о событии с уязвимостью, в результате которого она понесла убытки в 8,4 миллиона долларов. В отчете говорится, что атака затронула два торговых пула — торговую пару weETH/ETH на Unichain и торговую пару USDC/USDT на основной сети Ethereum. Уязвимость возникла из-за проблемы с направлением округления при обновлении неиспользуемого баланса в смарт-контрактах, которая проявилась на этапе вывода средств пользователями. Злоумышленник использовал эту ошибку для осуществления флеш-атаки займа, манипулируя ценой и ликвидностью торговых пулов.
Сначала злоумышленник взял в долг 3 миллиона USDT через срочный займ и несколько раз обменял токены для манипуляции ценами, что привело к снижению доступного USDC до всего лишь 28 wei. Затем злоумышленник использовал округление ошибок при 44 мелких выводах, чтобы еще больше исчерпать баланс USDC, что привело к значительному снижению общей ликвидности торгового пула. В конце концов, злоумышленник выполнил крупный обмен токенов, чтобы поднять ценовую шкалу, а затем произвел обратный обмен по манипулированной цене. Bunni сообщила, что все операции округления в отдельности проверены и безопасны, но комбинированные операции создали уязвимость. В настоящее время код округления обновлен, и межцепочечные выводы восстановлены, но функции депозитов, обменов и другие по-прежнему приостановлены. Платформа сотрудничает с правоохранительными органами для отслеживания средств, переведенных в Tornado Cash, и предлагает злоумышленнику 10% от средств в качестве вознаграждения за возврат. В дальнейшем будет усовершенствована тестовая структура для обеспечения полной безопасности восстановления.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Bunni указал, что ошибка округления смарт-контрактов является причиной уязвимости в 8400000 долларов США Срочные займы.
PANews 5 сентября сообщает, что по данным The Block, децентрализованная биржа Bunni во вторник выпустила отчет о событии с уязвимостью, в результате которого она понесла убытки в 8,4 миллиона долларов. В отчете говорится, что атака затронула два торговых пула — торговую пару weETH/ETH на Unichain и торговую пару USDC/USDT на основной сети Ethereum. Уязвимость возникла из-за проблемы с направлением округления при обновлении неиспользуемого баланса в смарт-контрактах, которая проявилась на этапе вывода средств пользователями. Злоумышленник использовал эту ошибку для осуществления флеш-атаки займа, манипулируя ценой и ликвидностью торговых пулов. Сначала злоумышленник взял в долг 3 миллиона USDT через срочный займ и несколько раз обменял токены для манипуляции ценами, что привело к снижению доступного USDC до всего лишь 28 wei. Затем злоумышленник использовал округление ошибок при 44 мелких выводах, чтобы еще больше исчерпать баланс USDC, что привело к значительному снижению общей ликвидности торгового пула. В конце концов, злоумышленник выполнил крупный обмен токенов, чтобы поднять ценовую шкалу, а затем произвел обратный обмен по манипулированной цене. Bunni сообщила, что все операции округления в отдельности проверены и безопасны, но комбинированные операции создали уязвимость. В настоящее время код округления обновлен, и межцепочечные выводы восстановлены, но функции депозитов, обменов и другие по-прежнему приостановлены. Платформа сотрудничает с правоохранительными органами для отслеживания средств, переведенных в Tornado Cash, и предлагает злоумышленнику 10% от средств в качестве вознаграждения за возврат. В дальнейшем будет усовершенствована тестовая структура для обеспечения полной безопасности восстановления.