Bunni kärsi 8,4 miljoonan dollarin flash-lainahyökkäyksestä – 'Pyöristysvirhe' syytetty

Hajautettu rahoitusprotokolla Bunni hyökkäyksen kohteena

Hajautettu rahoitusprotokolla Bunni kärsi 8,4 miljoonan dollarin hyökkäyksestä 2. syyskuuta, kun kehittynyt hyökkääjä käytti flash-lainaa manipuloidakseen likviditeettialtaita sekä Ethereumissa että Unichainissa. Tapahtuma, joka kohdistui weETH/ETH– ja USDC/USDT-altaisiin, on liitetty virheeseen Bunnin älysopimuksen logiikassa, joka liittyy pyöristysvirheisiin.

Hyökkäyksen yksityiskohdat

Bunni syyttää pyöristysbugia 2,3 miljoonan dollarin hyökkäyksestä ja tarjoaa 10 % palkkion. Bunnin jälkikäteisanalyysin mukaan hyökkäys toteutettiin kolmessa vaiheessa:

Hyökkääjä lainasi ensin 3 miljoonaa USDT:ta flash-lainan avulla ja käytti sitä manipuloidakseen USDC/USDT-altaan spot-hintaa äärimmäisiin tasoihin.
Kun altaan aktiivinen USDC-saldo laski vain 28 wei:hin, hyökkääjä aloitti 44 pientä nostoa.
Tämä käytti hyväkseen pyöristysvirhettä Bunnin koodissa, mikä laski altaan likviditeettiä yli 84 % verrattuna normaalitilanteeseen.

Kun likviditeetti oli keinotekoisesti tukahdutettu, hyökkääjä suoritti sandwich-hyökkäyksen, toteuttaen suuria vaihtoja, jotka nostivat hinnat vääristyneille arvoille. Kääntämällä aikaisemman likviditeetin vähentämisen, he saivat voittoja ennen kuin maksoivat flash-lainan takaisin. Yhteensä hyökkäys tuotti hyökkääjälle noin 1,33 miljoonaa USDC:ta ja 1 miljoona USDT:ta.

Haavoittuvuuden vahvistaminen ja toimenpiteet

Lohkoketjuturvallisuusyritys Cyfrin vahvisti, että haavoittuvuus johtui siitä, miten Bunnin älysopimus pyöristi saldoja nostojen aikana.

Vaikka mekanismi oli suunniteltu suosimaan altaan turvallisuutta aliarvioimalla likviditeettiä, toistuvat pienet nostot loivat olosuhteet, jotka mahdollistivat pyöristyslogiikan hyödyntämisen suuressa mittakaavassa. Bunni huomautti, että sen suurin allas, Unichainin USDC/USD₮0-pari, säästyi riittämättömän flash-lainalikviditeetin vuoksi hyökkäyksen toteuttamiseksi.

Varojen jäljittäminen ja palautusyritykset

Bunni vahvisti, että varastetut varat on nyt jaettu kahteen lompakkoon, jotka liittyvät hyökkääjään. Tutkijat jäljittivät varojen alkuperää, mutta kohtasivat umpikujaan löydettyään, että lompakot oli rahoitettu Tornado Cashin kautta, joka on sanktioitu yksityisyystyökalu. Tiimi on ottanut suoraan yhteyttä hyökkääjään ketjussa, tarjoten 10 % palkkion jäljellä olevien varojen palauttamisesta.

Toimintojen keskeyttäminen ja tulevaisuuden suunnitelmat

Välittömästi tapahtuman jälkeen Bunni keskeytti kaikki toiminnot, mutta on sittemmin mahdollistanut nostot, jotta likviditeettitoimittajat voivat palauttaa talletuksensa. Talletukset ja vaihdot pysyvät jäädytettyinä, kun kehittäjät työskentelevät korjauksen parissa. Affected-toiminnon pyöristyssuunnan muuttaminen neutraloi nykyisen hyökkäysvektorin, vaikka tiimi myönsi, että laajempaa testausta ja turvallisuuden parannuksia tarvitaan ennen täydellistä uudelleenavaamista.

Kryptoturvallisuuden tilanne elokuussa

Elokuu merkitsee kolmanneksi huonointa kuukautta kryptoturvallisuudelle, kun 163 miljoonaa dollaria menetettiin hakkereille ja huijauksille. Bunni, joka aikaisemmin ylpeili yli 80 miljoonan dollarin kokonaisarvolla lukittuna (TVL) BNB Chainissa, pitää nyt vain hieman yli 50 miljoonaa dollaria hyökkäyksen jälkeen.

Tapahtuma lisää hyökkäysten ja huijausten sarjaa, joka iskee sektoria. Vain päivää aikaisemmin Venus Protocolin käyttäjä menetti 13,5 miljoonaa dollaria phishing-huijauksessa. Lohkoketjuturvallisuusyritys PeckShieldin mukaan uhri hyväksyi tietämättään haitallisen tapahtuman, myöntäen token-oikeudet, jotka mahdollistivat varkauden.

Yhteenveto

Vaikka alkuperäiset raportit viittasivat 27 miljoonan dollarin menetykseen, myöhempi analyysi osoitti, että velkapaikat oli virheellisesti sisällytetty lukuun. Venus korosti, että sen älysopimukset pysyivät turvallisina ja vahvisti, että vain käyttäjä oli vaarantunut. Tapahtuma seurasi kryptoon liittyvien hyökkäysten lisääntymistä elokuussa, ja PeckShieldin tiedot osoittavat, että 163 miljoonaa dollaria varastettiin 16 merkittävässä hyökkäyksessä, mikä on nousua 142 miljoonasta dollarista heinäkuussa. Menetykset tekivät elokuusta kolmanneksi huonoimman kuukauden kryptoturvallisuudelle vuonna 2025.

Aiheeseen liittyvät julkaisut

Uusimmat käyttäjältä Blog

Pilviminointi Aloittelijoille: Sunny Mining Tarjoaa Uusia Mahdollisuuksia

Kryptovaluuttojen kaivostoiminta ja Sunny Mining Kryptovaluuttojen, kuten Bitcoinin ja Ethereumin, suosion kasvaessa niiden hintavaihtelut ja epävakaat tuotot tekevät monille uusille sijoittajille vaikeaksi hyödyntää sijoitusmahdollisuuksia. Sunny Miningin pilviminointipalvelu tarjoaa käyttäjille kätevän tavan osallistua

S&P 500 saavuttaa ennätyskorkean tason heikommasta työllisyysraportista huolimatta

Yhdysvaltojen osakkeet nousevat heikon työllisyysraportin myötä Yhdysvaltojen osakkeet nousivat, kun sijoittajat reagoivat odotettua heikompaan työllisyysraporttiin. S&P 500 ja Nasdaq nousivat hieman, mikä johti suurten osakeindeksien elpymiseen. S&P 500 nousi 0,4 % ennätykselliseen

Ethena-hinnan nousutrendi viittaa ralliin kohti 1,33 dollaria

Ethena-kryptovaluutan hintakehitys Ethena-kryptovaluutan hinta on korjautunut tärkeään tukivyöhykkeeseen 0,61 dollariin, jossa konfluenssi arvovyöhykkeen huipun ja 0,618 Fibonacci-korjauksen kanssa vahvistaa nousutrendiä. Tämä tason kerääntyminen viittaa mahdolliseen nousuun. Kriittinen tekninen taso Ethena (ENA) -hinta

Monex kasvattaa osuuttaan kanadalaisessa digitaalisten omaisuuserien hallinnoijassa 3iQ:ssä

Monex Groupin Omistus 3iQ:ssä Monex Group on kasvattanut omistustaan kanadalaisessa digitaalisten omaisuuserien hallinnoijassa 3iQ Digital Holdings 97,8 prosenttiin. Tavoitteena on kasvattaa institutionaalista kryptovaluuttaliiketoimintaansa. Monex Group, joka on TradeStationin ja japanilaisen kryptovaluuttapörssi Coincheckin

Bybit EU Group on hakenut MiFID II -lisenssiä, mikä avaa tien Euroopan johdannaismarkkinoille

Kryptovaluuttapörssi Bybitin Laajentuminen Euroopassa Kryptovaluuttapörssi Bybit nopeuttaa laajentumistaan Euroopassa. Bybit EU Group on äskettäin virallisesti jättänyt hakemuksen Itävallan rahoitusmarkkinaviranomaiselle (FMA) saadakseen sijoitusyhtiölisenssin tytäryhtiölleen, Bybit X GmbH:lle, MiFID II -direktiivin mukaisesti. ”Jos hakemus

Ranskalaiset poliisit pidättivät seitsemän henkilöä kryptovaluuttaan liittyvän kidnappauksen jälkeen

Kidnappaus Ranskassa Ranskan viranomaiset ovat pidättäneet seitsemän epäiltyä 20-vuotiaan sveitsiläismiehen kidnappauksen jälkeen. Tämä tapaus on osa kasvavaa kryptovaluuttaan liittyvien kidnappausten aaltoa Ranskassa. Uhri pelastettiin viime sunnuntaina Valenciassa erityisoperaatiossa, johon osallistui 150 gendarmia.

Gemini lanseeraa johdannaisia ja ETH- sekä SOL-stakingia Euroopassa

Kryptovaluuttapörssi Gemini laajentaa toimintaansa Euroopassa Kryptovaluuttapörssi Gemini, jonka perustivat Cameron ja Tyler Winklevoss, laajentaa toimintaansa Euroopassa uusilla staking– ja johdannaistarjouksilla. Geminin käyttäjät Euroopan talousalueella (ETA) voivat stakettaa Etheriä ja Solanaa sekä käydä

Sora Ventures esittelee Aasian ensimmäisen miljardin dollarin Bitcoin-kassavarannon

Sora Venturesin Bitcoin-kassavaranto Sora Ventures on esitellyt Aasian ensimmäisen omistetun Bitcoin-kassavarannon, jonka tavoitteena on hankkia miljardin dollarin arvosta BTC:tä seuraavan kuuden kuukauden aikana. Tämä lanseeraus, joka tapahtui Taipei Blockchain Weekin aikana, sisältää

EU-lakimiehet skeptisiä digitaalista euroa kohtaan, kun EKP uudistaa ehdotustaan

Euroopan keskuspankin digitaalinen euro Euroopan keskuspankki (EKP) on uudistanut pyrkimyksensä julkaista digitaalinen euro, mikä on herättänyt vastustusta EU-lakimiehiltä yksityisyydensuojan ja kaupallisten pankkien mahdollisten riskien vuoksi. EKP:n hallituksen jäsen Piero Cipollone kertoi torstaina

Fujianissa, Kiinassa, rikollisryhmä käytti USDT:tä rahanpesuun – transaktiot ylittivät 13,3 miljardia RMB:tä

Hanjiangin piirin kansantuomioistuin Hanjiangin piirin kansantuomioistuin Fujianin maakunnassa, Kiinassa, käsitteli virtuaalivaluuteen liittyvää rikosasiaa. Rikollisryhmä, johon kuuluivat Yan, Zheng, Lin ja muut, käytti virtuaalivaluutta USDT:tä (Tether) luodakseen maanalaista valuuttakauppaverkostoa. Rikollinen toiminta He rekrytoivat

Bunni kärsi 8,4 miljoonan dollarin flash-lainahyökkäyksestä – ’Pyöristysvirhe’ syytetty