去中心化交易所 Bunni 在因智能合约舍入误差导致 840 万美元漏洞后暂停运营,影响了两个资金池。

Bunni 在 840 万美元漏洞攻击后停止运营

去中心化交易所 Bunni 在因其智能合约中的舍入误差而遭受 840 万美元的漏洞攻击后,暂停了存款和兑换,这影响了 Ethereum 上的 USDC/USDT 交易对和 Unichain 上的 ETH/weETH 交易对。

漏洞详情

Bunni 确定智能合约在提款期间空闲余额更新中的舍入误差是根本原因。攻击者在利用小额提款的舍入误差之前,使用闪电贷操纵了池价格和流动性。类似的舍入漏洞以前也发生过,例如 2024 年 1 月发生在 Radiant Capital 上的漏洞,导致 400 万美元的损失。

该漏洞的根本问题在于 AToken 合约销毁函数中缩放金额计算中的舍入误差。

影响与回应

漏洞发生后,Bunni 暂停了所有网络上的所有智能合约功能。团队正在积极调查,并已提供 10% 的赏金以追回被盗资金。被盗资金通过加密货币混合器 Tornado Cash 进行了转移。Bunni 正在与包括 Cyfrin Audits 在内的网络安全公司合作调查此事件。

市场影响和安全担忧

此次漏洞引发了对 DeFi 协议安全性与可靠性的担忧。该事件强调了在 DeFi 领域采取强大安全措施和持续安全验证的必要性。正如“Web3 安全最佳实践:2025 年智能合约保护完整指南”中所建议的,Web3 安全的未来不在于被动审计,而在于可以完全取代传统审计的主动、自动化安全验证。仅在 2024 年,加密货币犯罪就给全球造成了 409 亿美元的损失,预计到年底将达到 510 亿美元以上。