Bunni apontou que o erro de arredondamento dos contratos inteligentes foi a causa da vulnerabilidade de 8,4 milhões de dólares em Empréstimos Flash.

PANews, 5 de setembro - De acordo com o The Block, a exchange descentralizada Bunni publicou na terça-feira um relatório sobre um incidente de ataque de vulnerabilidade, que resultou em uma perda de 8,4 milhões de dólares. O relatório destaca que o ataque afetou dois pools de negociação - o par weETH/ETH na Unichain, e o par USDC/USDT na rede principal Ethereum. A vulnerabilidade originou-se de um problema na direção do arredondamento utilizada ao atualizar saldos ociosos no contrato inteligente, que ocorreu durante o processo de saque dos usuários. O atacante explorou esse erro para lançar um ataque de empréstimo flash, manipulando o preço e a liquidez do pool de negociação. Primeiro, o atacante tomou emprestado 3 milhões de USDT através de Empréstimos Flash e fez várias trocas de tokens para manipular o preço, reduzindo a disponibilidade de USDC a apenas 28 wei. Em seguida, o atacante utilizou o erro de arredondamento de 44 retiradas de pequeno montante para esgotar ainda mais o saldo de USDC, resultando em uma queda acentuada na liquidez total do pool de negociação. Por fim, o atacante executou uma grande troca de tokens para aumentar a escala de preços e, em seguida, fez uma troca reversa ao preço manipulado. Bunni afirmou que todas as operações de arredondamento testadas individualmente são seguras, mas a operação combinada formou uma vulnerabilidade. O código de arredondamento foi atualizado e os saques entre cadeias foram restaurados, mas funções como depósitos e trocas continuam suspensas. A plataforma está colaborando com as autoridades para rastrear os fundos transferidos para o Tornado Cash e oferece 10% dos fundos ao atacante como recompensa pela devolução. No futuro, será aprimorado o framework de testes para garantir uma recuperação segura completa.