Uniswap「ハング」取引所Bunniがハッキングされ、840万ドル以上の損失を被る

ChainCatcher のメッセージ、分散型金融（DeFi）分野で再びセキュリティ事件が発生しました。Uniswap に基づいて構築された取引所 Bunni がハッキングされ、840 万ドルの損失を被りました。Bunni の公式サイトによると、このアプリは「すべての市場条件下で流動性提供者の利益を最大化する」ことを目的としていますが、今日の損失はその目的とは逆の結果となりました。

以前の報道によると、暗号セキュリティ監査会社 BlockSec Phalcon（@Phalconxyz）が監視したところ、イーサリアムネットワーク上で Bunni プロトコル（@bunnixyz）契約に対する疑わしい取引が発見され、約 230 万ドルの損失を引き起こしました。約 2 時間後、Bunni チームはこの事件を認め、すべてのネットワークでの契約を一時停止しました。その後、さらに多くの監査会社が調査に介入し、イーサリアムネットワークでの 230 万ドルの損失に加え、Unichain ネットワークでも 600 万ドルの損失が発生し、総損失は 840 万ドルに達しました。

今回の攻撃は、プラットフォームの「流動性配分関数」曲線の精度の脆弱性に関連しているようです。ハッカーは巧妙に設計された取引規模を通じてこの関数を操作し、再バランス計算のエラーを引き起こし、各流動性提供者が保有すべきシェアを誤って計算しました。ハッカーはこのプロセスを繰り返し、余分な LP トークンを引き出し、Bunni の流動性プールを枯渇させました。

Bunni のコードベースは Trail of Bits や Cyfrin などの著名なセキュリティ会社による監査を受けており、報告書には「深刻な」問題が存在していましたが、今回の攻撃がこれらの監査報告の範囲内であったかどうかは現時点では不明です。