Utnyttjande av Bunni Protokoll
Det decentraliserade finansprotokollet Bunni drabbades av ett utnyttjande på $8,4 miljoner den 2 september, efter att en sofistikerad angripare använde ett flash-lån för att manipulera likviditetspooler på både Ethereum och Unichain. Incidenten, som riktade sig mot weETH/ETH och USDC/USDT-poolerna, har tillskrivits en brist i Bunnis smarta kontraktslogik som involverar avrundningsfel.
Detaljer om Utnyttjandet
Bunni skyller på en avrundningsbugg för ett utnyttjande på $2,3 miljoner och erbjuder en belöning på 10% för återlämnande av de stulna medlen. Enligt Bunnis post-mortem genomfördes utnyttjandet i tre steg:
- Angriparen lånade först 3 miljoner USDT via ett flash-lån, vilket användes för att manipulera spotpriset för USDC/USDT-poolen till extrema nivåer.
- Med poolens aktiva USDC-saldo reducerat till endast 28 wei, initierade utnyttjaren 44 små uttag.
- Detta utnyttjade ett avrundningsfel i Bunnis kod, vilket oproportionerligt sänkte poolens likviditet med över 84%.
Med likviditeten artificiellt undertryckt genomförde angriparen en sandwichattack, där stora byten utfördes som drev priserna till förvrängda värden. Totalt gav utnyttjandet cirka 1,33 miljoner USDC och 1 miljon USDT till angriparen.
Utredning och Åtgärder
Blockchain-säkerhetsföretaget Cyfrin bekräftade att sårbarheten härstammade från hur Bunnis smarta kontrakt avrundade saldon under uttag. Medan mekanismen var utformad för att gynna poolens säkerhet genom att underskatta likviditeten, skapade upprepade små uttag förhållanden som gjorde det möjligt för avrundningslogiken att utnyttjas i stor skala.
”Vi har spenderat år på att bygga Bunni eftersom vi tror att det är framtiden för AMM:er,” sade teamet i sitt uttalande.
Bunni bekräftade att de stulna tillgångarna nu är uppdelade mellan två plånböcker kopplade till angriparen. Utredare spårade ursprunget till medlen men nådde en återvändsgränd efter att ha upptäckt att plånböckerna finansierades genom Tornado Cash, ett sanktionerat integritetsverktyg. Teamet har kontaktat utnyttjaren direkt på kedjan och erbjudit en 10% belöning i utbyte mot att återlämna de återstående medlen.
Konsekvenser och Framtid
I den omedelbara efterdyningen pausade Bunni alla operationer men har sedan dess återaktiverat uttag för att tillåta likviditetsleverantörer att återfå sina insättningar. Insättningar och byten förblir frysta medan utvecklarna arbetar på en lösning. Att ändra avrundningsriktningen för den påverkade funktionen neutraliserar den aktuella utnyttjandevektorn, även om teamet erkände att mer omfattande tester och säkerhetsförbättringar behövs innan en fullständig återöppning.
Augusti markerar den tredje sämsta månaden för kryptosäkerhet då $163 miljoner förlorades till hack och bedrägerier. Bunni, som en gång hade över $80 miljoner i totalt värde låst (TVL) på BNB Chain, har nu bara strax över $50 miljoner efter utnyttjandet. Incidenten läggs till en rad attacker och bedrägerier som drabbar sektorn.
Övriga Incidenter
Bara en dag tidigare förlorade en Venus Protocol-användare $13,5 miljoner i en phishing-bedrägeri. Enligt blockchain-säkerhetsföretaget PeckShield godkände offret omedvetet en skadlig transaktion, vilket gav tokenbehörigheter som möjliggjorde stölden. Medan initiala rapporter antydde att $27 miljoner drogs bort, visade senare analyser att skuldpositioner felaktigt inkluderades i siffran.
Den största enskilda stölden inträffade den 19 augusti, när en Bitcoin-innehavare förlorade 783 BTC, värt $91,4 miljoner, i ett social engineering-schema. Angripare påstås ha utgett sig för att vara supportpersonal för hårdvaruplånböcker för att få känsliga uppgifter innan de tvättade medlen genom Wasabi Wallet.
Med phishing, börs sårbarheter och exit-bedrägerier som driver ökande förluster, underströk augusti hur både tekniska brister och mänskliga misstag fortsätter att plåga kryptobranschen.
