去中心化交易所 Bunni 在因智能合約捨入誤差導致 840 萬美元漏洞後暫停運營,影響了兩個資金池。

Bunni 在 840 萬美元漏洞攻擊後停止運營

去中心化交易所 Bunni 在因其智能合約中的捨入誤差而遭受 840 萬美元的漏洞攻擊後,暫停了存款和兌換,這影響了 Ethereum 上的 USDC/USDT 交易對和 Unichain 上的 ETH/weETH 交易對。

漏洞詳情

Bunni 確定智能合約在提款期間空閒餘額更新中的捨入誤差是根本原因。攻擊者在利用小額提款的捨入誤差之前,使用閃電貸操縱了池價格和流動性。類似的捨入漏洞以前也發生過,例如 2024 年 1 月發生在 Radiant Capital 上的漏洞,導致 400 萬美元的損失。

該漏洞的根本問題在於 AToken 合約銷毀函數中縮放金額計算中的捨入誤差。

影響與回應

漏洞發生後,Bunni 暫停了所有網絡上的所有智能合約功能。團隊正在積極調查,並已提供 10% 的賞金以追回被盜資金。被盜資金通過加密貨幣混合器 Tornado Cash 進行了轉移。Bunni 正在與包括 Cyfrin Audits 在內的網絡安全公司合作調查此事件。

市場影響和安全擔憂

此次漏洞引發了對 DeFi 協議安全性與可靠性的擔憂。該事件強調了在 DeFi 領域採取強大安全措施和持續安全驗證的必要性。正如“Web3 安全最佳實踐:2025 年智能合約保護完整指南”中所建議的,Web3 安全的未來不在於被動審計,而在于可以完全取代傳統審計的主動、自動化安全驗證。僅在 2024 年,加密貨幣犯罪就給全球造成了 409 億美元的損失,預計到年底將達到 510 億美元以上。