9 月 2 日,一名老練的攻擊者利用閃電貸操縱了以太坊和 Unichain 上的流動性池,導致去中心化金融協議 Bunni 遭受了價值 840 萬美元的攻擊。
該事件針對的是 weETH/ ETH和USDC/ USDT池,原因是 Bunni 的智能合約邏輯中存在涉及舍入誤差的缺陷。
Bunni 將 230 萬美元的漏洞歸咎於 Rounding Bug,並提供 10% 的賞金
根據Bunni的事後分析,該漏洞分三個階段實施。攻擊者首先通過閃電貸借入300萬美元USDT ,並將其用於操縱USDC/ USDT池的現貨價格至極端水平。
當礦池的活躍USDC餘額降至僅 28 wei 時,漏洞利用者發起了 44 次小額提現。這利用了 Bunni 代碼中的舍入誤差,導致礦池的流動性異常降低,降幅超過 84%。
在流動性受到人為抑制的情況下,攻擊者實施了三明治攻擊,執行了大規模掉期交易,將價格推高至扭曲的價值。
通過逆轉先前的流動性削減,他們在償還閃電貸之前提取了利潤。總體而言,該漏洞為攻擊者盜取了約 133 萬USDC和 100 萬USDT 。
區塊鏈安全公司 Cyfrin 證實,該漏洞源於 Bunni 的智能合約在提款過程中對餘額的四捨五入方式。
雖然該機制旨在通過低估流動性來保障資金池安全,但反覆的小額提款卻為大規模利用舍入邏輯創造了條件。
Bunni 指出,其最大的資金池——Unichain 的USDC/USD₮0 交易對——由於閃電貸流動性不足而未能發起攻擊。利用該資金池大約需要借入 1700 萬美元的資產,但當時各借貸平臺的可用資金只有 1100 萬美元。
Bunni 確認,被盜資產目前分散存放在與攻擊者關聯的兩個錢包中。調查人員追蹤了資金來源,但在發現這些錢包是通過受監管的隱私工具 Tornado Cash 進行轉賬後,陷入了困境。
該團隊已直接在鏈上聯繫了漏洞利用者,並承諾提供 10% 的賞金,以換取返還剩餘資金。此外,中心化交易所也已收到通知,以阻止任何試圖利用漏洞的行為,同時執法部門也已介入,尋求追回方案。
事發後,Bunni 立即暫停了所有業務,但隨後重新開放了提現功能,以便流動性提供者收回其存款。在開發人員修復問題期間,存款和掉期交易仍處於凍結狀態。
改變受影響函數的舍入方向可以消除當前的漏洞向量,但該團隊承認在完全重新開放之前需要進行更廣泛的測試和安全改進。
Bunni 由一個六人團隊運營,他們表示,儘管遭遇挫折,但仍致力於持續發展。該協議引入了流動性密度函數 (LDF) 等新概念,團隊聲稱這些概念代表了新一代的自動做市商。
該團隊在聲明中表示:“我們花了數年時間打造 Bunni,因為我們相信它是 AMM 的未來”,同時承諾加強其代碼庫和測試框架,以防止類似的攻擊。
8 月是加密貨幣安全狀況第三糟糕的月份,黑客和詐騙導致 1.63 億美元損失
Bunni 曾宣稱其在BNB鏈上的總鎖定價值 (TVL) 超過 8000 萬美元,但在此次攻擊事件發生後,其總鎖定價值僅略高於 5000 萬美元。此次事件加劇了該行業遭受的一系列攻擊和詐騙事件。
就在一天前,一名Venus Protocol 用戶在一次網絡釣魚詐騙中損失了 1350 萬美元。據區塊鏈安全公司 PeckShield 稱,受害者在不知情的情況下批准了一筆惡意交易,並授予了促成盜竊的代幣權限。
雖然最初的報告顯示有2700萬美元被盜,但後來的分析顯示,債務頭寸被錯誤地計入了該數字。Venus強調其智能合約仍然安全,並確認只有用戶受到了攻擊。
此次事件發生之前,8月份加密貨幣相關漏洞激增。PeckShield 數據顯示,在16次重大攻擊中,被盜金額達1.63億美元,高於7月份的1.42億美元。這些損失使8月成為2025年加密貨幣安全狀況第三糟糕的月份。
最大的單起盜竊案發生在8月19日,一名比特幣持有者在一次社會工程攻擊中損失了783個BTC(價值9140萬美元)。據稱,攻擊者冒充硬件錢包支持人員獲取敏感憑證,然後通過Wasabi錢包洗錢。
土耳其交易所BtcTurk 也遭受了打擊,在七個區塊鏈網絡的多鏈熱錢包漏洞中損失了 5400 萬美元。繼 2024 年 6 月的一次黑客攻擊之後,此次事件使其累計損失超過 1 億美元。
其他值得注意的案例包括 ODIN•FUN 損失 700 萬美元、BetterBank.io 被利用 500 萬美元,以及CrediX Finance 倒閉 450 萬美元( 在開發人員放棄項目後,演變為退出騙局)。
由於網絡釣魚、交易所漏洞和退出騙局導致損失不斷增加,8 月份凸顯了技術缺陷和人為錯誤如何繼續困擾加密行業。
