Bunni зазначив, що округлення смартконтрактів є причиною вразливості на 840 мільйонів доларів у термінових позиках

PANews 5 вересня, за повідомленням The Block, децентралізована біржа Bunni у вівторок опублікувала звіт про повторний аналіз інциденту з вразливістю, внаслідок якого вона понесла збитки в 8,4 мільйона доларів. У звіті зазначено, що атака вплинула на два торгові пули — торгову пару weETH/ETH на Unichain, а також торгову пару USDC/USDT на основній мережі Ethereum. Вразливість виникла через проблему зі спрямуванням округлення при оновленні неробочих залишків у смартконтрактах, яка виникла на етапі виведення користувачами. Зловмисники використали цю помилку для запуску флеш-атаки, маніпулюючи ціною та ліквідністю торгових пулів. По-перше, зловмисник позичив 3 мільйони USDT через Термінові позики та здійснив кілька обмінів токенів для маніпуляції ціною, зменшивши доступний USDC до лише 28 wei. Після цього зловмисник використав округлення, яке виникло внаслідок 44 дрібних зняттів, щоб ще більше виснажити баланс USDC, що призвело до значного зниження загальної Ліквідності торгового пулу. Нарешті, зловмисник виконав великий обмін токенів для підвищення цінового масштабу, а потім здійснив зворотний обмін за маніпульованою ціною. Bunni зазначає, що всі операції округлення перевірялись окремо і були безпечними, але комбінація операцій створила вразливість. Наразі було оновлено код округлення та відновлено крос-чейн зняття, але функції депозитів, обміну та інші все ще призупинені. Платформа співпрацює з правоохоронними органами для відстеження коштів, що були переведені в Tornado Cash, і пропонує зловмиснику 10% від коштів як винагороду за повернення. У подальшому буде вдосконалено тестову структуру для забезпечення повного безпечного відновлення.