Децентрализованная биржа Bunni опубликовала отчет о причинах эксплойта, который привел к убыткам в размере $8,4 млн.
Как сообщается, эксплойт затронул два пула — пару weETH/ETH в Unichain и пару USDC/USDT в основной сети Ethereum. Bunni определила проблему с направлением округления в смарт-контракте для обновления бездействующих балансов при выводе средств как основную причину эксплойта. Злоумышленник воспользовался этой ошибкой для запуска атаки с мгновенным займом, которая манипулировала ценами и ликвидностью пула.
Сначала злоумышленник занял 3 млн. USDT через мгновенный займ и провел несколько свопов для манипулирования ценой, сократив количество доступных USDC. Затем он воспользовался ошибками округления, совершив 44 небольших вывода, что ещё больше истощило баланс USDC и непропорционально снизило общую ликвидность пула. На последнем этапе злоумышленник осуществил крупный своп, чтобы завысить цену, а затем выполнил обратный своп по манипулятивной цене.
Платформа возобновила вывод средств во всех сетях после тестирования форка, проведённого компанией в области блокчейн-безопасности Cyfrin. Однако депозиты, свопы и другие функции остаются приостановленными.
Команда Bunni заявила, что отследила украденные средства до двух кошельков, но не смогла идентифицировать злоумышленника, поскольку средства были переведены через криптомиксер Tornado Cash. Bunni предлагает злоумышленнику 10% от суммы в качестве вознаграждения за возврат остатка, а также сотрудничает с правоохранительными органами и просит централизованные биржи заморозить связанные аккаунты.
Bunni заявила, что в перспективе продолжит разработку своей тестовой системы для полного восстановления работы платформы.
Источник
Уникальность
