Une faille dans la logique de liquidité personnalisée de Bunni a permis à un attaquant de siphonner environ 2,4 millions de dollars en stablecoins, poussant la plateforme à suspendre l’ensemble de ses contrats intelligents.
Selon les données on‑chain recueillies par plusieurs sociétés de sécurité Web3, l’échange décentralisé Bunni a été la cible d’un exploit qui a drainé 1,33 million de dollars en USDC et 1,04 million de dollars en USDT. L’équipe du projet a confirmé l’incident sur X, précisant que « toutes les fonctions des contrats intelligents ont été mises en pause sur toutes les chaînes » et que des investigations étaient en cours.
Réaction de Bunni et mesures prises
Le contributeur principal de Bunni, @Psaul26ix, a exhorté les utilisateurs à retirer leurs fonds le plus rapidement possible, en déclarant : « Si vous avez de l’argent sur Bunni, retirez‑le immédiatement ». La plateforme canalise sa liquidité via Euler Finance, un protocole de prêt décentralisé, mais le co‑fondateur et CEO d’Euler, Michael Bentley, a rassuré que le protocole n’avait pas été impacté par l’exploit.
Selon Victor Tran, co‑fondateur de KyberNetwork, l’attaque aurait exploité une faiblesse du « Liquidity Distribution Function » (LDF), le mécanisme propriétaire de Bunni qui remplace la logique par défaut d’Uniswap v4. En exécutant des transactions de tailles très précises, l’auteur a perturbé le calcul de rééquilibrage de la liquidité, obtenant ainsi des résultats erronés sur la part de chaque fournisseur de liquidité.
L’attaquant aurait répété l’opération plusieurs fois, drainant progressivement les fonds du protocole sans déclencher immédiatement d’alerte. En réponse, l’équipe de Bunni a proposé une prime de 10 % à l’auteur de l’attaque en échange du retour des fonds restants, via un message on‑chain contenant une adresse de contact et une adresse e‑mail pour négocier les modalités.
Contexte plus large des piratages en août
- Les hackers et escrocs du secteur crypto ont dérobé plus de 163 millions de dollars en août, répartis sur 16 incidents, soit une hausse de 15 % par rapport à juillet (142 millions de dollars).
- Ce total reste 47 % inférieur à l’année précédente, mais signale une recrudescence des attaques ciblées alors que les marchés cryptographiques reprennent de l’élan.
- Les analystes de sécurité, dont PeckShield, observent un déplacement stratégique des acteurs malveillants, qui se concentrent désormais davantage sur les échanges centralisés et les individus fortunés plutôt que sur de petites cibles décentralisées.
- Le plus gros vol d’août résulte d’une attaque d’ingénierie sociale : un utilisateur Bitcoin a été dupé et a envoyé 783 BTC (environ 91 millions de dollars) à des fraudeurs se faisant passer pour le support d’une plateforme d’échange et d’un fournisseur de portefeuilles matériels.
