Bunniプロトコルは840万ドル規模のフラッシュローン攻撃をスマートコントラクトの出金における丸め誤差に起因すると説明。調査機関は脆弱性を確認し、法執行機関や取引所が資金回収に協力中。
BunniのDeFi(分散型金融)プロトコルは9月2日、フラッシュローン攻撃によりweETH/ETHおよびUSDC/USDTのプールが操作され、840万ドルを失った。攻撃者は出金機能の丸め誤差を利用し、44回の小規模出金を実行。流動性を84%以上削減した後に有利なスワップを行った。セキュリティ企業Cyfrinが脆弱性を確認。Bunniは攻撃者に資金返還の条件として10%の報奨金を提示し、取引所や法執行機関に通知した。出金は再開されたが、入金とスワップは停止中。攻撃によりBunniの預かり資産(TVL)は8,000万ドル超から約5,000万ドルへ減少。今回の事件は、8月に発生した総額1億6,300万ドルの仮想通貨ハッキングや詐欺の流れに加わる形となり、Venus ProtocolやBtcTurkを含む複数のプラットフォームが被害を受けた。