Bunni 智能合约舍入误差引发840万美元闪电贷攻击

去中心化交易所 Bunni 发布报告，详细复盘了导致其损失840万美元的闪电贷攻击事件。此次漏洞影响了 Unichain 上的 weETH/ETH 交易对和以太坊主网的 USDC/USDT 交易对。问题源于智能合约在更新闲置余额时的舍入方向错误，攻击者利用该漏洞操纵交易池价格和流动性。 攻击者通过闪电贷借入300万 USDT，操纵价格将 USDC 降至28 wei，并通过44次小额提现利用舍入误差进一步耗尽 USDC 流动性。随后，攻击者通过大额代币交换抬高价格刻度并获利。Bunni 已修复舍入代码并恢复跨链提款功能，但存款和交换仍暂停。平台正与执法部门合作追踪资金，并向攻击者提供10%赏金以换取资金返还，同时计划优化测试框架以提升安全性。