Bunni指出智能合約舍入誤差是造成840萬美元閃電貸漏洞的原因

PANews 9月5日消息，據The Block報道，去中心化交易所Bunni於周二發布了一份關於漏洞攻擊事件的復盤報告，此次攻擊導致其損失840萬美元。報告指出，此次攻擊影響了兩個交易池——Unichain上的weETH/ETH交易對，以及以太坊主網上的USDC/USDT交易對。漏洞源自智能合約中更新閒置餘額時採用的舍入方向存在問題，該問題出現在用戶提現環節。攻擊者利用這一錯誤發起了閃電貸攻擊，操縱了交易池的價格和流動性。 首先，攻擊者通過閃電貸借入300萬枚USDT，並進行多次代幣交換以操縱價格，將可用USDC減少至僅28 wei。隨後，攻擊者利用44次小額提現的舍入誤差，進一步耗盡USDC餘額，導致交易池總流動性大幅下降。最後，攻擊者執行了一筆大額代幣交換以抬高價格刻度，隨後以操縱後的價格進行反向交換。Bunni表示所有舍入操作單獨檢驗均安全，但組合操作形成漏洞。目前已更新舍入代碼並恢復跨鏈提款，但存款、交換等功能仍暫停。平台正與執法部門合作追蹤轉入Tornado Cash的資金，並向攻擊者提供10%資金作爲返還賞金。後續將完善測試框架以確保全面安全恢復。