随着去中心化金融(DeFi)生态的不断壮大,各类复杂的智能合约应用层出不穷。然而,这些创新的背后也隐藏着安全隐患。近期,知名去中心化交易平台Bunni遭遇了一场突如其来的闪电贷攻击,攻击金额高达840万美元,原因则令人震惊 - - 竟是智能合约中一个看似微不足道的四舍五入错误漏洞。 Bunni是一种结合了自动化做市商(AMM)和集中流动性机制的DeFi协议,支持用户在以太坊和Unichain两大链上提供流动性。该协议通过创新的流动性密度函数(Liquidity Density Functions,简称LDFs)实现了更高效和灵活的资产管理,曾吸引上亿资金的锁仓资产(TVL)。然而,在2025年9月2日,Bunni的部分资金池遭遇了闪电贷攻击,事件迅速引发行业关注。
此次攻击的关键在于利用了Bunni智能合约中处理余额计算时的四舍五入逻辑。攻击者先通过闪电贷手段借入300万美元USDT,然后操纵USDC/USDT交易池的现货价格,将USDC余额逼近极限值,仅剩28 wei(以太坊最小单位),导致系统中的流动性数据显示远低于实际水平。接着,攻击者通过44次极小额提现操作,持续利用四舍五入漏洞以极低的成本大幅减少了池内活跃流动性,缩水率超过84%,为后续操作制造了价格畸形的条件。 借助这次流动性扭曲,攻击者展开了"夹层攻击"(Sandwich Attack),通过规模庞大的交易推高价格,继而反向操作实现高额套利。整个流程在还清闪电贷本金后,攻击者共获得133万美元USDC和100万美元USDT的净利润。著名区块链安全公司Cyfrin参与该事件的漏洞分析,证实了四舍五入逻辑失误是攻击根源。
Bunni团队在事件发生后迅速反应,暂停了所有存款和交换操作,随后恢复了提款功能以保护流动性提供者的资产安全。目前开发团队已修正了漏洞,将四舍五入逻辑方向调整,防止类似操作再次发生,但整个协议全面恢复仍需经过更为严格安全测试。与此同时,团队官方还向攻击者发出链上联系,提出回收资金的10%赏金激励,并联络多家中心化交易所阻止攻击者试图套现资产,配合执法机关进行追追赃。 值得注意的是,资金流向进一步被追踪发现流入了两个匿名钱包,并通过已被监管机构制裁的隐私混币服务Tornado Cash洗净,增加了资金追回的难度。这一过程充分彰显了当前区块链技术虽具去中心透明属性,但借助多层混币工具,犯罪资金仍能有效"藏身"。 在攻击事件背后,行业安全风险依旧严峻。
2025年8月成为加密领域安全事故频发的月份,知名安全公司PeckShield数据显示当月经历16起重大安全事件,总计损失金额高达1.63亿美元,居全年第三。除了Bunni之外,Venus协议用户遭遇1,350万美元的钓鱼攻击,美股上市的土耳其交易所BtcTurk两次热钱包被攻,累计损失超过5,400万美元。更早些时候,某比特币用户因社交工程手法丢失了价值9,140万美元的783个BTC。 这一系列事件暴露了当前DeFi及加密资产领域的安全盲点,技术漏洞和人为失误依然是造成巨额资金损失的主因。智能合约的复杂性使得代码审计与测试面临巨大挑战,而攻击手法不断升级亦要求开发团队持续强化安全意识与防御体系。 Bunni事件引发了关于未来AMM设计与流动性管理机制的深刻思考。
其提出的流动性密度函数在理论上为市场制造者带来灵活工具,但也暴露了某些边缘情况的风险。未来,DeFi协议需在追求创新的同时,更加注重数学模型与代码实现的完备性,避免因细微的算法偏差引发安全漏洞。 从宏观层面来看,监管机构与行业联盟正加速推动相关安全标准和规范的完善,试图以规则约束和技术手段共同构筑更安全的生态环境。与此同时,攻击资金的跨链流动和隐私币混币技术的广泛应用使得追踪和执法难度加大,强调了建立国际协作和技术创新的重要性。 整体而言,Bunni闪电贷事件是一场为DeFi行业敲响警钟的安全事故。它展示了即使是微小的代码逻辑缺陷,也可能被技术高超的攻击者利用造成巨额损失。
对此,行业参与者需强化自身安全体系建设,重视代码审计和风险测试,积极响应社区反馈和安全事件,推动DeFi迈向更加成熟和稳健的未来。 投资者也应提高风险意识,理性评估项目安全状况,采用多元化投资策略以分散潜在风险。同时,关注官方公告与安全信息,避免在漏洞爆发期间进行高风险操作,以保障自身资产安全。此次事件无疑促使整个加密世界反思安全底线,为下一代智能合约安全升级提供了宝贵经验和教训。随着行业技术日趋成熟,期待DeFi生态能在创新与安全之间找到更加理想的平衡点,推动区块链金融走向更广阔的发展空间。 。
