分散型金融プロトコルBunniの攻撃
分散型金融プロトコルBunniは、9月2日に840万ドルの攻撃を受けました。この攻撃は、巧妙な攻撃者がフラッシュローンを利用してEthereumとUnichainの流動性プールを操作した結果です。事件は、weETH/ETHおよびUSDC/USDTプールを標的にしており、Bunniのスマートコントラクトのロジックにおける丸め誤差の欠陥に起因しています。
攻撃の詳細
Bunniは、230万ドルの攻撃について丸めバグを非難し、10%の報酬を提供しています。Bunniの事後分析によると、攻撃は3つの段階で実行されました。攻撃者は最初にフラッシュローンを通じて300万USDTを借り、それを使用してUSDC/USDTプールのスポット価格を極端なレベルに操作しました。
プールのアクティブなUSDC残高がわずか28weiに減少したため、攻撃者は44回の小規模な引き出しを開始しました。
これにより、Bunniのコードにおける丸め誤差が悪用され、プールの流動性が84%以上も不均衡に低下しました。流動性が人工的に抑制された状態で、攻撃者はサンドイッチ攻撃を実行し、大規模なスワップを行って価格を歪んだ値に押し上げました。合計で、攻撃者は約133万USDCと100万USDTを獲得しました。
脆弱性の確認と対応
ブロックチェーンセキュリティ企業Cyfrinは、この脆弱性がBunniのスマートコントラクトが引き出し時に残高を丸める方法に起因していることを確認しました。このメカニズムは流動性を過小評価することでプールの安全性を優先するように設計されていましたが、繰り返し行われた小規模な引き出しが、丸めロジックが大規模に悪用される条件を生み出しました。
Bunniは、最大のプールであるUnichainのUSDC/USD₮0ペアは、攻撃を行うためのフラッシュローン流動性が不足していたため、影響を受けなかったと述べています。そのプールを悪用するには約1700万ドルの借入資産が必要でしたが、当時は貸出プラットフォーム全体で1100万ドルしか利用できませんでした。
資金の追跡と今後の対応
Bunniは、盗まれた資産が現在攻撃者に関連する2つのウォレットに分散されていることを確認しました。調査者は資金の出所を追跡しましたが、ウォレットが制裁対象のプライバシーツールであるTornado Cashを通じて資金提供されていることを発見し、行き詰まりました。
チームは、残りの資金を返還する見返りに10%の報酬を提供するために、攻撃者に直接オンチェーンで連絡を取りました。
中央集権型取引所にも通知され、オフランプの試みを防ぐための措置が講じられ、法執行機関も回収オプションを追求するために関与しています。直後、Bunniはすべての操作を一時停止しましたが、流動性提供者が預金を回収できるように引き出しを再開しました。
今後の展望と業界の状況
影響を受けた関数の丸め方向を変更することで、現在の攻撃ベクトルを無効化できますが、チームは完全に再開する前により広範なテストとセキュリティの改善が必要であることを認めました。6人のチームによって運営されているBunniは、挫折にもかかわらず開発を続けることにコミットしていると述べています。
このプロトコルは、チームが新世代の自動マーケットメイカーを表すと主張する流動性密度関数(LDF)などの新しい概念を導入しました。「私たちはBunniを構築するのに数年を費やしました。なぜなら、私たちはそれがAMMの未来であると信じているからです」とチームは声明で述べ、同様の攻撃を防ぐためにコードベースとテストフレームワークを強化することを約束しました。
8月は、ハッキングや詐欺によって1億6300万ドルが失われ、暗号セキュリティにとって3番目に悪い月となりました。かつてBNBチェーンで8000万ドル以上の総ロック価値(TVL)を誇っていたBunniは、攻撃後に5000万ドルをわずかに超える額を保持しています。この事件は、セクターを襲う一連の攻撃や詐欺に追加されます。
前日には、Venus Protocolのユーザーがフィッシング詐欺で1350万ドルを失いました。ブロックチェーンセキュリティ企業PeckShieldによると、被害者は悪意のある取引を知らずに承認し、盗難を可能にするトークン権限を付与しました。最初の報告では2700万ドルが流出したとされましたが、後の分析では負債ポジションがその数字に誤って含まれていたことが示されました。
Venusは、スマートコントラクトが安全であることを強調し、被害者のみが侵害されたことを確認しました。この事件は、8月に暗号関連の攻撃が急増した後に発生しました。PeckShieldのデータによると、16件の主要な攻撃で1億6300万ドルが盗まれ、7月の1億4200万ドルから増加しました。
この損失により、8月は2025年の暗号セキュリティにとって3番目に悪い月となりました。最大の単一盗難事件は8月19日に発生し、ビットコイン保有者が783BTC(9140万ドル相当)をソーシャルエンジニアリングの手法で失いました。攻撃者はハードウェアウォレットのサポートスタッフを装って、機密情報を取得し、その後Wasabi Walletを通じて資金を洗浄したとされています。
トルコの取引所BtcTurkも攻撃を受け、7つのブロックチェーンネットワークにわたるマルチチェーンホットウォレットの侵害により5400万ドルを失いました。この事件により、2024年6月の以前のハッキングに続いて累積損失が1億ドルを超えました。
他の注目すべきケースには、ODIN•FUNの700万ドルの損失、BetterBank.ioの500万ドルの攻撃、CrediX Financeの450万ドルの崩壊が含まれ、開発者がプロジェクトを放棄した後に出口詐欺に変わりました。フィッシング、取引所の脆弱性、出口詐欺が損失を増大させる中、8月は技術的欠陥と人的エラーが暗号業界を悩ませ続けていることを浮き彫りにしました。
