PANews는 9월 5일, The Block에 따르면 탈중앙화 거래소 Bunni가 화요일에 840만 달러의 손실을 초래한 취약점 공격에 대한 검토 보고서를 발표했다고 보도했습니다. 보고서에 따르면, 이 공격은 Unichain의 weETH/ETH 거래쌍과 이더리움 메인넷의 USDC/USDT 거래쌍, 두 개의 거래 풀에 영향을 미쳤습니다. 이 취약점은 사용자 출금 중 스마트 컨트랙트의 유휴 잔액 업데이트 시 사용되는 반올림 방향의 오류에서 비롯되었습니다. 공격자는 이 오류를 악용하여 플래시 대출 공격을 감행하여 거래 풀의 가격과 유동성을 조작했습니다.

먼저, 공격자는 플래시론을 통해 300만 USDT를 대출하고 여러 차례 토큰 스왑을 통해 가격을 조작하여 사용 가능한 USDC를 28 wei로 줄였습니다. 그런 다음 공격자는 44건의 소액 출금에서 반올림 오류를 악용하여 USDC 잔액을 더욱 고갈시켜 거래 풀의 총 유동성을 크게 감소시켰습니다. 마지막으로, 공격자는 가격을 부풀리기 위해 대규모 토큰 스왑을 실행한 후, 조작된 가격으로 스왑을 취소했습니다. Bunni는 모든 반올림 작업이 개별적으로는 안전했지만, 결합하면 취약점이 발생했다고 밝혔습니다. 반올림 코드가 업데이트되었고 크로스 체인 출금은 복구되었지만, 입금, 스왑 및 기타 기능은 여전히 ​​중단되었습니다. 플랫폼은 토네이도 캐시로 이체된 자금을 추적하기 위해 법 집행 기관과 협력하고 있으며, 공격자에게 10%의 보상금을 제공하고 있습니다. 향후 테스트 프레임워크를 개선하여 포괄적이고 안전한 복구를 보장할 것입니다.