去中心化金融协议Bunni遭遇攻击
去中心化金融协议Bunni于9月2日遭遇了840万美元的攻击,攻击者利用闪电贷操控了以太坊和Unichain上的流动性池。此次事件主要针对weETH/ETH和USDC/USDT流动性池,归因于Bunni智能合约逻辑中的舍入错误。
攻击过程分析
Bunni在事后分析中指出,此次攻击分为三个阶段进行。攻击者首先通过闪电贷借入300万USDT,利用这些资金将USDC/USDT池的现货价格操控至极端水平。随着该池的USDC余额被压缩至仅28 wei,攻击者发起了44次小额提款,利用了Bunni代码中的舍入错误,导致该池的流动性下降超过84%。
在流动性被人为压制后,攻击者实施了夹击攻击,进行大额交易,将价格推向扭曲的水平。通过逆转之前的流动性减少,他们在偿还闪电贷之前提取了利润。此次攻击总共为攻击者带来了约133万USDC和100万USDT的收益。
漏洞来源与后果
区块链安全公司Cyfrin确认,漏洞源于Bunni智能合约在提款时对余额的舍入处理。虽然该机制旨在通过低估流动性来保护池的安全,但反复的小额提款创造了条件,使得舍入逻辑在大规模操作中被利用。
Bunni指出,其最大的流动性池——Unichain的USDC/USD₮0对由于缺乏足够的闪电贷流动性而未受到攻击。要利用该池进行攻击,约需1700万美元的借入资产,但当时各借贷平台仅提供了1100万美元的流动性。
Bunni确认被盗资产目前分散在与攻击者相关的两个钱包中。调查人员追踪资金来源,但在发现这些钱包通过Tornado Cash(一个被制裁的隐私工具)进行资金注入后陷入僵局。团队已通过链上直接联系攻击者,提供10%的赏金以换取归还剩余资金。
后续措施与行业影响
事件发生后不久,Bunni暂停了所有操作,但随后重新启用了提款,以允许流动性提供者恢复其存款。存款和交易仍然被冻结,开发团队正在进行修复。改变受影响函数的舍入方向可以中和当前的攻击向量,尽管团队承认在全面重新开放之前需要进行更广泛的测试和安全改进。
Bunni由六人团队运营,尽管遭遇挫折,仍表示将继续开发。该协议引入了流动性密度函数(LDF)等新概念,团队声称这代表了新一代自动化市场制造商。
“我们花了数年时间构建Bunni,因为我们相信它是AMM的未来,”团队在声明中表示,并承诺加强其代码库和测试框架,以防止类似攻击的发生。
行业安全形势
八月成为加密安全的第三差月份,因黑客和诈骗损失达1.63亿美元。曾经在BNB链上拥有超过8000万美元总锁仓价值(TVL)的Bunni,在此次攻击后仅剩5000多万美元。该事件进一步加剧了该行业面临的攻击和诈骗潮。
就在前一天,Venus Protocol的一名用户在一次网络钓鱼诈骗中损失了1350万美元。根据区块链安全公司PeckShield的说法,受害者在不知情的情况下批准了一笔恶意交易,授予了令牌权限,从而导致盗窃。
虽然最初报告称损失了2700万美元,但后来的分析显示,债务头寸错误地被包含在该数字中。Venus强调其智能合约仍然安全,并确认只有该用户受到影响。
该事件发生在八月加密相关攻击激增之后,PeckShield数据显示,八月共发生16起重大攻击,盗窃金额达到1.63亿美元,较七月的1.42亿美元有所上升。这使得八月成为2025年加密安全的第三差月份。
单笔最大盗窃发生在8月19日,一名比特币持有者在一次社交工程骗局中损失了783 BTC,价值9140万美元。攻击者假冒硬件钱包支持人员以获取敏感凭证,然后通过Wasabi Wallet洗钱。
土耳其交易所BtcTurk也遭遇攻击,因跨七个区块链网络的多链热钱包漏洞损失5400万美元。此次事件使其累计损失超过1亿美元,此前在2024年6月也曾遭遇黑客攻击。
其他值得注意的案例包括ODIN•FUN损失700万美元,BetterBank.io遭遇500万美元的攻击,以及CrediX Finance的450万美元崩溃,该项目在开发者弃项目后变成了退出骗局。
随着网络钓鱼、交易所漏洞和退出骗局导致的损失不断增加,八月突显了技术缺陷和人为错误如何继续困扰加密行业。
