Bunni协议因“四舍五入”漏洞遭840万美元闪电贷攻击，安全隐患凸显

去中心化金融协议Bunni于9月2日遭受了价值840万美元的闪电贷攻击。攻击者通过闪电贷借入大量USDT，利用Bunni智能合约在处理小额提款时的“四舍五入”误差，人为操纵了USDC/USDT和weETH/ETH流动性池的实际价值，最终获利约133万USDC和100万USDT。

此次攻击的核心在于Bunni智能合约在计算流动性时存在的“四舍五入”缺陷。该缺陷在设计上本意是为了低估流动性以保障池安全，但攻击者通过连续执行大量微小提款操作，放大了该误差，导致流动性被严重低估。随后，攻击者通过三明治攻击手法，在扭曲的价格下进行大额兑换，攫取了巨额利润。

Bunni已确认漏洞根源，并尝试通过链上沟通向攻击者提供10%的赏金以追回资金，同时已通知中心化交易所并与执法部门合作。尽管Bunni已暂停部分服务，但为保障流动性提供者的利益，已重新开放提款功能。此次事件再次警示DeFi领域，即使是看似微小的代码逻辑错误，也可能在特定条件下被放大为大规模的金融损失，凸显了严格的代码审计和多层次安全验证的必要性。

查看消息来源