9 月 2 日,一名老练的攻击者利用闪电贷操纵了以太坊和 Unichain 上的流动性池,导致去中心化金融协议 Bunni 遭受了价值 840 万美元的攻击。
该事件针对的是 weETH/ ETH和USDC/ USDT池,原因是 Bunni 的智能合约逻辑中存在涉及舍入误差的缺陷。
Bunni 将 230 万美元的漏洞归咎于 Rounding Bug,并提供 10% 的赏金
根据Bunni的事后分析,该漏洞分三个阶段实施。攻击者首先通过闪电贷借入300万美元USDT ,并将其用于操纵USDC/ USDT池的现货价格至极端水平。
当矿池的活跃USDC余额降至仅 28 wei 时,漏洞利用者发起了 44 次小额提现。这利用了 Bunni 代码中的舍入误差,导致矿池的流动性异常降低,降幅超过 84%。
在流动性受到人为抑制的情况下,攻击者实施了三明治攻击,执行了大规模掉期交易,将价格推高至扭曲的价值。
通过逆转先前的流动性削减,他们在偿还闪电贷之前提取了利润。总体而言,该漏洞为攻击者盗取了约 133 万USDC和 100 万USDT 。
区块链安全公司 Cyfrin 证实,该漏洞源于 Bunni 的智能合约在提款过程中对余额的四舍五入方式。
虽然该机制旨在通过低估流动性来保障资金池安全,但反复的小额提款却为大规模利用舍入逻辑创造了条件。
Bunni 指出,其最大的资金池——Unichain 的USDC/USD₮0 交易对——由于闪电贷流动性不足而未能发起攻击。利用该资金池大约需要借入 1700 万美元的资产,但当时各借贷平台的可用资金只有 1100 万美元。
Bunni 确认,被盗资产目前分散存放在与攻击者关联的两个钱包中。调查人员追踪了资金来源,但在发现这些钱包是通过受监管的隐私工具 Tornado Cash 进行转账后,陷入了困境。
该团队已直接在链上联系了漏洞利用者,并承诺提供 10% 的赏金,以换取返还剩余资金。此外,中心化交易所也已收到通知,以阻止任何试图利用漏洞的行为,同时执法部门也已介入,寻求追回方案。
事发后,Bunni 立即暂停了所有业务,但随后重新开放了提现功能,以便流动性提供者收回其存款。在开发人员修复问题期间,存款和掉期交易仍处于冻结状态。
改变受影响函数的舍入方向可以消除当前的漏洞向量,但该团队承认在完全重新开放之前需要进行更广泛的测试和安全改进。
Bunni 由一个六人团队运营,他们表示,尽管遭遇挫折,但仍致力于持续发展。该协议引入了流动性密度函数 (LDF) 等新概念,团队声称这些概念代表了新一代的自动做市商。
该团队在声明中表示:“我们花了数年时间打造 Bunni,因为我们相信它是 AMM 的未来”,同时承诺加强其代码库和测试框架,以防止类似的攻击。
8 月是加密货币安全状况第三糟糕的月份,黑客和诈骗导致 1.63 亿美元损失
Bunni 曾宣称其在BNB链上的总锁定价值 (TVL) 超过 8000 万美元,但在此次攻击事件发生后,其总锁定价值仅略高于 5000 万美元。此次事件加剧了该行业遭受的一系列攻击和诈骗事件。
就在一天前,一名Venus Protocol 用户在一次网络钓鱼诈骗中损失了 1350 万美元。据区块链安全公司 PeckShield 称,受害者在不知情的情况下批准了一笔恶意交易,并授予了促成盗窃的代币权限。
虽然最初的报告显示有2700万美元被盗,但后来的分析显示,债务头寸被错误地计入了该数字。Venus强调其智能合约仍然安全,并确认只有用户受到了攻击。
此次事件发生之前,8月份加密货币相关漏洞激增。PeckShield 数据显示,在16次重大攻击中,被盗金额达1.63亿美元,高于7月份的1.42亿美元。这些损失使8月成为2025年加密货币安全状况第三糟糕的月份。
最大的单起盗窃案发生在8月19日,一名比特币持有者在一次社会工程攻击中损失了783个BTC(价值9140万美元)。据称,攻击者冒充硬件钱包支持人员获取敏感凭证,然后通过Wasabi钱包洗钱。
土耳其交易所BtcTurk 也遭受了打击,在七个区块链网络的多链热钱包漏洞中损失了 5400 万美元。继 2024 年 6 月的一次黑客攻击之后,此次事件使其累计损失超过 1 亿美元。
其他值得注意的案例包括 ODIN•FUN 损失 700 万美元、BetterBank.io 被利用 500 万美元,以及CrediX Finance 倒闭 450 万美元( 在开发人员放弃项目后,演变为退出骗局)。
由于网络钓鱼、交易所漏洞和退出骗局导致损失不断增加,8 月份凸显了技术缺陷和人为错误如何继续困扰加密行业。
