صرافی غیرمتمرکز Bunni گزارش مفصلی از حمله سایبری اخیر منتشر کرد که منجر به خسارت ۸.۴ میلیون دلاری شد. این حمله دو استخر معاملاتی weETH/ETH در یونیچین و USDC/USDT در شبکه اصلی اتریوم را تحت تأثیر قرار داد. علت اصلی این آسیبپذیری، مشکلی در نحوه گرد کردن اعداد در قرارداد هوشمند هنگام بهروزرسانی موجودیهای راکد بود.
مهاجم با استفاده از وام فوری ۳ میلیون USDT و انجام معاملات متعدد، قیمت را دستکاری کرد و موجودی USDC را به ۲۸ وای کاهش داد. سپس با ۴۴ برداشت کوچک از خطاهای گرد کردن سوءاستفاده کرد که باعث کاهش نامتناسب نقدینگی استخر شد. در نهایت، با انجام یک معامله بزرگ و معکوس در قیمت دستکاری شده، از این آسیبپذیری بهرهبرداری کرد.
Bunni اعلام کرد که کد مربوط به گرد کردن اعداد را اصلاح کرده و برداشتها را پس از تأیید امنیتی توسط شرکت Cyfrin از سر گرفته است. با این حال، سایر عملکردها مانند واریز و معاملات همچنان متوقف هستند. تیم پلتفرم وجوه سرقت شده را تا دو کیف پول ردیابی کرد، اما به دلیل استفاده مهاجم از میکسر Tornado Cash، شناسایی هویت او میسر نشد.
این پلتفرم به مهاجم پیشنهاد داده در صورت بازگرداندن وجوه، ۱۰ درصد آن را به عنوان پاداش دریافت کند. همچنین در حال همکاری با مراجع قانونی است و از صرافیهای متمرکز خواسته حسابهای مرتبط را مسدود کنند. Bunni اعلام کرده که در حال توسعه چارچوب آزمایشی خود برای بازگرداندن کامل عملکرد پلتفرم است.
