¡Bunni contratos inteligentes provoca un error de redondeo que resulta en un ataque de flash loan de 840 mil dólares! Detalles expuestos, vulnerabilidad ya corregida.
La plataforma de intercambio descentralizada Bunni anunció los resultados de una importante investigación sobre un incidente de seguridad: los atacantes aprovecharon una vulnerabilidad de redondeo en los contratos inteligentes para llevar a cabo un ataque de flash loan, lo que resultó en el robo de 8.4 millones de dólares. Los fondos transferidos ya han sido mezclados a través de Tornado Cash, lo que dificulta su rastreo. Bunni ha propuesto un plan de "recompensa de sombrero blanco" a los atacantes, dispuesto a devolver el 10% de los fondos a cambio de la recuperación del resto.
Resumen del evento: dos grandes fondos afectados
Según el informe de análisis posterior de Bunni, esta vulnerabilidad afectó a:
pool de intercambio weETH/ETH en Unichain
piscina de comercio USDC/USDT en la red principal de Ethereum
La vulnerabilidad proviene de un manejo inadecuado de la dirección de redondeo al actualizar el saldo ocioso del fondo en la función BunniHubLogic::withdraw(). Operación independiente.
La lógica debería ser segura, pero bajo múltiples operaciones compuestas, ha brindado una oportunidad a los atacantes.
Desglose de la técnica de ataque: 44 retiros pequeños agotan la liquidez
El informe de Bunni restableció el proceso del ataque:
Préstamo de Flash: el atacante obtuvo 3 millones de dólares USDT a través de un ataque de flash loan.
Manipulación de precios: múltiples intercambios comprimirán la liquidez de USDC a solo 28 wei.
Utilizando el error de redondeo: 44 retiros pequeños consecutivos redujeron aún más el saldo de USDC, lo que provocó una disminución significativa de la liquidez del fondo.
Arbitraje inverso: al final, se eleva el precio a través de grandes swaps y luego se realiza una operación inversa a precios manipulados, obteniendo así grandes ganancias.
Causa de la vulnerabilidad: riesgo implícito de dirección de redondeo
Bunni señaló que el problema radica en el manejo de la dirección de redondeo al actualizar el saldo ocioso al retirar. Aunque el cálculo único no presenta errores, en operaciones múltiples superpuestas, el error se amplifica, formando finalmente una superficie de ataque utilizable.
Bunni expresó: "Todas las direcciones de redondeo son seguras en caso individual, pero pueden causar vulnerabilidades al combinar múltiples operaciones."
Medidas y estado de la plataforma
Corrección de vulnerabilidades: se ha actualizado la lógica de redondeo para prevenir ataques similares.
Verificación de seguridad: la empresa de seguridad blockchain Cyfrin realiza pruebas de bifurcación para confirmar la seguridad después de los parches.
Función de recuperación: se han reabierto todas las funciones de retiro de la red, pero las funciones de recarga, intercambio, etc. siguen suspendidas.
Seguimiento y colaboración: colaborar con las autoridades y las plataformas centralizadas para intentar congelar el flujo de fondos relacionados.
seguimiento de fondos y recompensa
Bunni ha bloqueado dos direcciones de billetera relacionadas con el ataque, pero debido a que los fondos han sido mezclados a través de Tornado Cash, es difícil confirmar la identidad del atacante. La plataforma ha propuesto una recompensa del 10% a los hackers éticos a cambio de la devolución de los fondos restantes.
Actualización del marco de defensa y pruebas futura
Bunni indicó que se actualizará completamente el marco de pruebas, reforzando la simulación de escenarios de operaciones compuestas para evitar que aparezcan vulnerabilidades similares. Aunque corregir la dirección de redondeo puede detener el ataque actual, el equipo sigue evaluando si se introducirán nuevos riesgos potenciales.
Conclusión
Este incidente resalta que un pequeño error en la lógica matemática de los contratos inteligentes también puede desencadenar pérdidas significativas. Para los proyectos de DeFi, la auditoría de seguridad no solo debe verificar la corrección de una única función, sino también prestar atención a las interacciones de múltiples operaciones. La rápida respuesta y la divulgación transparente de Bunni proporcionaron un valioso caso de seguridad para la industria, pero al mismo tiempo advierte a todos los desarrolladores de protocolos: en el mundo de las finanzas descentralizadas, los detalles determinan la vida o la muerte.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
¡Bunni contratos inteligentes provoca un error de redondeo que resulta en un ataque de flash loan de 840 mil dólares! Detalles expuestos, vulnerabilidad ya corregida.
La plataforma de intercambio descentralizada Bunni anunció los resultados de una importante investigación sobre un incidente de seguridad: los atacantes aprovecharon una vulnerabilidad de redondeo en los contratos inteligentes para llevar a cabo un ataque de flash loan, lo que resultó en el robo de 8.4 millones de dólares. Los fondos transferidos ya han sido mezclados a través de Tornado Cash, lo que dificulta su rastreo. Bunni ha propuesto un plan de "recompensa de sombrero blanco" a los atacantes, dispuesto a devolver el 10% de los fondos a cambio de la recuperación del resto.
Resumen del evento: dos grandes fondos afectados
Según el informe de análisis posterior de Bunni, esta vulnerabilidad afectó a:
pool de intercambio weETH/ETH en Unichain
piscina de comercio USDC/USDT en la red principal de Ethereum
La vulnerabilidad proviene de un manejo inadecuado de la dirección de redondeo al actualizar el saldo ocioso del fondo en la función BunniHubLogic::withdraw(). Operación independiente.
La lógica debería ser segura, pero bajo múltiples operaciones compuestas, ha brindado una oportunidad a los atacantes.
Desglose de la técnica de ataque: 44 retiros pequeños agotan la liquidez
El informe de Bunni restableció el proceso del ataque:
Préstamo de Flash: el atacante obtuvo 3 millones de dólares USDT a través de un ataque de flash loan.
Manipulación de precios: múltiples intercambios comprimirán la liquidez de USDC a solo 28 wei.
Utilizando el error de redondeo: 44 retiros pequeños consecutivos redujeron aún más el saldo de USDC, lo que provocó una disminución significativa de la liquidez del fondo.
Arbitraje inverso: al final, se eleva el precio a través de grandes swaps y luego se realiza una operación inversa a precios manipulados, obteniendo así grandes ganancias.
Causa de la vulnerabilidad: riesgo implícito de dirección de redondeo
Bunni señaló que el problema radica en el manejo de la dirección de redondeo al actualizar el saldo ocioso al retirar. Aunque el cálculo único no presenta errores, en operaciones múltiples superpuestas, el error se amplifica, formando finalmente una superficie de ataque utilizable.
Bunni expresó: "Todas las direcciones de redondeo son seguras en caso individual, pero pueden causar vulnerabilidades al combinar múltiples operaciones."
Medidas y estado de la plataforma
Corrección de vulnerabilidades: se ha actualizado la lógica de redondeo para prevenir ataques similares.
Verificación de seguridad: la empresa de seguridad blockchain Cyfrin realiza pruebas de bifurcación para confirmar la seguridad después de los parches.
Función de recuperación: se han reabierto todas las funciones de retiro de la red, pero las funciones de recarga, intercambio, etc. siguen suspendidas.
Seguimiento y colaboración: colaborar con las autoridades y las plataformas centralizadas para intentar congelar el flujo de fondos relacionados.
seguimiento de fondos y recompensa
Bunni ha bloqueado dos direcciones de billetera relacionadas con el ataque, pero debido a que los fondos han sido mezclados a través de Tornado Cash, es difícil confirmar la identidad del atacante. La plataforma ha propuesto una recompensa del 10% a los hackers éticos a cambio de la devolución de los fondos restantes.
Actualización del marco de defensa y pruebas futura
Bunni indicó que se actualizará completamente el marco de pruebas, reforzando la simulación de escenarios de operaciones compuestas para evitar que aparezcan vulnerabilidades similares. Aunque corregir la dirección de redondeo puede detener el ataque actual, el equipo sigue evaluando si se introducirán nuevos riesgos potenciales.
Conclusión
Este incidente resalta que un pequeño error en la lógica matemática de los contratos inteligentes también puede desencadenar pérdidas significativas. Para los proyectos de DeFi, la auditoría de seguridad no solo debe verificar la corrección de una única función, sino también prestar atención a las interacciones de múltiples operaciones. La rápida respuesta y la divulgación transparente de Bunni proporcionaron un valioso caso de seguridad para la industria, pero al mismo tiempo advierte a todos los desarrolladores de protocolos: en el mundo de las finanzas descentralizadas, los detalles determinan la vida o la muerte.