Bunni menunjukkan bahwa kesalahan pembulatan pada smart contract adalah penyebab dari celah Pinjaman Flash senilai 8,4 juta dolar.

PANews 5 September melaporkan, menurut The Block, pertukaran terdesentralisasi Bunni pada hari Selasa merilis laporan tentang insiden serangan kerentanan, yang menyebabkan kerugian sebesar 8,4 juta USD. Laporan tersebut menunjukkan bahwa serangan ini mempengaruhi dua kolam perdagangan - pasangan perdagangan weETH/ETH di Unichain, serta pasangan perdagangan USDC/USDT di jaringan utama Ethereum. Kerentanan ini berasal dari masalah arah pembulatan yang digunakan saat memperbarui saldo tidak terpakai dalam smart contract, yang muncul pada tahap penarikan pengguna. Penyerang memanfaatkan kesalahan ini untuk melakukan serangan pinjaman flash, memanipulasi harga dan likuiditas kolam perdagangan. Pertama, penyerang meminjam 3 juta USDT melalui Pinjaman Flash dan melakukan beberapa pertukaran token untuk memanipulasi harga, mengurangi USDC yang tersedia menjadi hanya 28 wei. Selanjutnya, penyerang memanfaatkan kesalahan pembulatan dari 44 penarikan kecil untuk lebih menghabiskan saldo USDC, yang menyebabkan total likuiditas kolam perdagangan menurun drastis. Terakhir, penyerang melakukan pertukaran token besar untuk menaikkan skala harga, kemudian melakukan pertukaran terbalik dengan harga yang dimanipulasi. Bunni menyatakan bahwa semua operasi pembulatan diperiksa secara terpisah dan aman, tetapi kombinasi operasi tersebut menciptakan celah. Saat ini, kode pembulatan telah diperbarui dan penarikan lintas rantai telah dipulihkan, tetapi fungsi seperti setoran dan pertukaran masih ditangguhkan. Platform sedang bekerja sama dengan penegak hukum untuk melacak dana yang masuk ke Tornado Cash dan menawarkan 10% dari dana kepada penyerang sebagai hadiah pengembalian. Ke depan, akan ada perbaikan pada kerangka pengujian untuk memastikan pemulihan keamanan secara menyeluruh.