PANews 5 de septiembre, según The Block, el DEX Bunni publicó el martes un informe de revisión sobre un incidente de ataque de vulnerabilidad que resultó en una pérdida de 8.4 millones de dólares. El informe señala que el ataque afectó a dos grupos de intercambio: el par de intercambio weETH/ETH en Unichain y el par de intercambio USDC/USDT en la red principal de Ethereum. La vulnerabilidad se originó en un problema con la dirección de redondeo utilizada al actualizar los saldos ociosos en el contrato inteligente, que ocurrió durante el proceso de retiro del usuario. El atacante aprovechó este error para llevar a cabo un ataque de flash loan, manipulando el precio y la liquidez de los grupos de intercambio.
Primero, el atacante tomó prestados 3 millones de USDT a través de Flash Loans y realizó múltiples intercambios de tokens para manipular el precio, reduciendo la cantidad disponible de USDC a solo 28 wei. Luego, el atacante aprovechó el error de redondeo de 44 retiros pequeños para agotar aún más el saldo de USDC, lo que llevó a una fuerte disminución de la liquidez total del fondo de comercio. Finalmente, el atacante ejecutó un gran intercambio de tokens para aumentar la escala de precios y luego realizó un intercambio inverso a precios manipulados. Bunni indicó que todas las operaciones de redondeo se verificaron individualmente y son seguras, pero la combinación de operaciones creó una vulnerabilidad. Actualmente, se ha actualizado el código de redondeo y se han restaurado los retiros entre cadenas, pero las funciones de depósito, intercambio, etc., siguen suspendidas. La plataforma está colaborando con las autoridades para rastrear los fondos transferidos a Tornado Cash y ofrece un 10% de los fondos al atacante como recompensa por la devolución. Posteriormente, se mejorará el marco de pruebas para garantizar una recuperación completa y segura.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Bunni señaló que el error de redondeo en los contratos inteligentes fue la causa de la vulnerabilidad de 840,000 dólares en Flash Loans.
PANews 5 de septiembre, según The Block, el DEX Bunni publicó el martes un informe de revisión sobre un incidente de ataque de vulnerabilidad que resultó en una pérdida de 8.4 millones de dólares. El informe señala que el ataque afectó a dos grupos de intercambio: el par de intercambio weETH/ETH en Unichain y el par de intercambio USDC/USDT en la red principal de Ethereum. La vulnerabilidad se originó en un problema con la dirección de redondeo utilizada al actualizar los saldos ociosos en el contrato inteligente, que ocurrió durante el proceso de retiro del usuario. El atacante aprovechó este error para llevar a cabo un ataque de flash loan, manipulando el precio y la liquidez de los grupos de intercambio. Primero, el atacante tomó prestados 3 millones de USDT a través de Flash Loans y realizó múltiples intercambios de tokens para manipular el precio, reduciendo la cantidad disponible de USDC a solo 28 wei. Luego, el atacante aprovechó el error de redondeo de 44 retiros pequeños para agotar aún más el saldo de USDC, lo que llevó a una fuerte disminución de la liquidez total del fondo de comercio. Finalmente, el atacante ejecutó un gran intercambio de tokens para aumentar la escala de precios y luego realizó un intercambio inverso a precios manipulados. Bunni indicó que todas las operaciones de redondeo se verificaron individualmente y son seguras, pero la combinación de operaciones creó una vulnerabilidad. Actualmente, se ha actualizado el código de redondeo y se han restaurado los retiros entre cadenas, pero las funciones de depósito, intercambio, etc., siguen suspendidas. La plataforma está colaborando con las autoridades para rastrear los fondos transferidos a Tornado Cash y ofrece un 10% de los fondos al atacante como recompensa por la devolución. Posteriormente, se mejorará el marco de pruebas para garantizar una recuperación completa y segura.