FX 仮想通貨

Bunni、840万ドルのフラッシュローン攻撃に見舞われる — 「四捨五入の誤差」が原因

2025年10月03日

Bunni の 840 万ドルの「ゴースト流動性」流出: 攻撃者は価格を歪めるために 300 万 USDT をフラッシュ借入し、その後、Ethereum と Unichain での 44 件の少額引き出しで端数処理のバグを悪用しました。

9月2日、分散型金融プロトコル「Bunni」は、高度な技術を持つ攻撃者がフラッシュローンを利用してイーサリアムとユニチェーンの両方の流動性プールを操作し、840万ドルの被害を受けました。

weETH/ETH プールと USDC/USDT プールを標的としたこのインシデントは、丸め誤差を含む Bunni のスマートコントラクトロジックの欠陥が原因であるとされています。

Bunni、230万ドルのエクスプロイトは丸めバグによるものだと主張、10%の懸賞金を提示

Bunniの事後分析によると、この攻撃は3段階で実行された。攻撃者はまずフラッシュローンで300万USDTを借り入れ、それを使ってUSDC/USDTプールのスポット価格を極端な水準まで操作しました。

プールのアクティブなUSDC残高がわずか28ウェイに減少したため、攻撃者は44回の小額引き出しを開始しました。これはBunniのコードにおける丸め誤差を悪用したもので、プールの流動性を84%以上も不均衡に低下させました。

🚨 Exploit Update: The Bunni team has completed analysis of the recent exploit. The details are available in this post mortem blog post (link in comment).

Withdrawals have been unpaused, so LPs are now free to withdraw their assets. All other operations remain paused.
— Bunni (@bunni_xyz) September 4, 2025

流動性を人為的に抑制した状態で、攻撃者はサンドイッチ攻撃を実行し、大規模なスワップを実行して価格を歪んだ値に押し上げました。

攻撃者は、以前の流動性減少を反転させることで、フラッシュローンの返済前に利益を獲得しました。このエクスプロイトにより、攻撃者は合計約133万USDCと100万USDTを獲得しました。

ブロックチェーンセキュリティ企業Cyfrinは、この脆弱性はBunniのスマートコントラクトが引き出し時に残高を切り上げる方法に起因していることを確認しました。

このメカニズムは流動性を過小評価することでプールの安全性を優先するように設計されていましたが、小額の引き出しを繰り返すことで、丸めロジックを大規模に悪用できる状況が生まれました。

Bunni氏は、最大のプールであるUnichainのUSDC/USD₮0ペアが、攻撃を仕掛けるためのフラッシュローン流動性が不足していたため、攻撃を免れたと指摘しました。このプールを悪用するには約1,700万ドルの借入資産が必要でしたが、当時、貸付機関全体で利用可能な金額はわずか1,100万ドルでした。

バンニ氏は、盗まれた資産が現在、攻撃者に関連する2つのウォレットに分散されていることを確認しました。捜査官は資金の出所を追跡したが、ウォレットが認可されたプライバシーツールであるTornado Cashを通じて資金提供されていたことが判明し、行き詰まりました。

チームはオンチェーン上で直接不正行為者に連絡を取り、残りの資金を返還する代わりに10%の報奨金を提示しました。また、中央集権型取引所にもオフランプの試みを阻止するよう通知し、法執行機関には回収策の検討を依頼しました。

直後、Bunniはすべての業務を停止しましたが、その後、流動性プロバイダーが預金を回収できるよう出金を再開しました。開発者が修正作業を行っている間、預金とスワップは凍結されたままです。

影響を受ける関数の丸め方向を変更すると、現在のエクスプロイトベクトルは無効になりますが、チームは完全に再開する前に、より広範なテストとセキュリティの改善が必要であると認識しています。

6人からなるチームによって運営されているBunniは、今回の挫折にもかかわらず開発を継続する意向だと述べました。このプロトコルは流動性密度関数（LDF）といった斬新な概念を導入しており、チームはこれが新世代の自動マーケットメーカーの代表であると主張しています。

「BunniはAMMの未来だと信じているため、私たちは何年もかけてBunniを構築してきました」とチームは声明で述べ、同様の攻撃を防ぐためにコードベースとテストフレームワークを強化することを約束しました。

8月は暗号資産セキュリティにとって過去3番目に悪い月となり、ハッキングや詐欺で1億6300万ドルの損失

かつてBNBチェーンに8,000万ドル以上の総ロック額（TVL）を誇っていたBunniは、今回の攻撃により、現在では5,000万ドル強にまで減少しています。この事件は、この分野を直撃している一連の攻撃や詐欺に新たな一撃を加えるものです。

ちょうど前日、Venus Protocolのユーザーがフィッシング詐欺で1,350万ドルの損失を被りました。ブロックチェーンセキュリティ企業PeckShieldによると、被害者は知らず知らずのうちに悪意のあるトランザクションを承認し、盗難を可能にするトークンの権限を付与してしまったとのことです。

🗣️ @VenusProtocol recovers $27M from exploiter through force-liquidation, sparking decentralization debate over governance intervention.#BNB #Hack https://t.co/IO2WhCF0S6
— Cryptonews.com (@cryptonews) September 3, 2025

当初の報道では2,700万ドルが流出したと示唆されていましたが、その後の分析で、この数字には債務残高が誤って含まれていたことが判明しました。Venusは、スマートコントラクトは依然として安全であり、不正アクセスを受けたのはユーザーのみであると強調しました。

この事件は、8月に仮想通貨関連のエクスプロイトが急増した後に発生しました。PeckShieldのデータによると、16件の大規模攻撃で1億6,300万ドルが盗まれ、 7月の1億4,200万ドルから増加しました。この損失により、8月は2025年の仮想通貨セキュリティにおいて3番目に悪い月となりました。

8月19日に発生した最大の盗難事件では、ビットコイン保有者がソーシャルエンジニアリングの手口で783BTC（9,140万ドル相当）を失いました。攻撃者はハードウェアウォレットのサポートスタッフを装い、機密性の高い認証情報を入手した後、Wasabi Walletを通じて資金をロンダリングしたとされています。

👹 BtcTurk (@btcturk), Turkey's second-largest crypto exchange, loses $48M in a major hack targeting hot wallets across 7 blockchain networks, marking its second incident in 14 months.#CryptoHack #Turkey https://t.co/6Yr8mwgUYO
— Cryptonews.com (@cryptonews) August 14, 2025

トルコの取引所BtcTurkも、7つのブロックチェーンネットワークにまたがるマルチチェーンのホットウォレット侵害により、5,400万ドルの損失を被りました。この事件により、2024年6月のハッキングに続き、累計損失は1億ドルを超えました。

その他の注目すべき事例としては、ODIN•FUN の 700 万ドルの損失、BetterBank.io の 500 万ドルのエクスプロイト、開発者がプロジェクトを放棄した後に出口詐欺に変わったCrediX Finance の 450 万ドルの崩壊などがあります。

フィッシング、取引所の脆弱性、出口詐欺により損失が増大する中、オーガスト氏は技術的な欠陥と人的ミスの両方が暗号通貨業界を悩ませ続けていることを強調しました。