Fermeture de Bunni : Un coup dur pour la finance décentralisée
Dans un nouveau coup dur pour l’industrie de la finance décentralisée, Bunni a annoncé sa fermeture suite à un exploit majeur qui a gravement perturbé ses opérations. Bunni, l’échange décentralisé reconnu pour ses innovations en matière de liquidité, a officiellement fermé ses portes après qu’un piratage ait drainé plus de 8,4 millions de dollars de fonds utilisateurs. La décision a été annoncée le 23 octobre via le compte officiel X du projet, où l’équipe a déclaré que cet incident avait stoppé la croissance du projet et l’avait laissée incapable de financer un relancement sécurisé.
Les détails de l’attaque
Cette fermeture marque la fin de l’un des échanges les plus techniquement ambitieux de la DeFi, construit sur les hooks Uniswap (UNI) V4. L’attaque, qui a ciblé les contrats intelligents principaux d’Ethereum (ETH) et Unichain de Bunni, a eu lieu début septembre. Les attaquants ont exploité une vulnérabilité dans la fonction de distribution de liquidité du projet, conçue pour optimiser les retours des fournisseurs de liquidité. Ils ont pu retirer plus d’actifs que ce à quoi ils avaient droit en manipulant des prêts flash et en profitant d’erreurs d’arrondi. Environ 8,4 millions de dollars ont été siphonnés, principalement en USDC et USDT, avant que l’équipe ne gèle les opérations des contrats.
« Une prime de 10 % a été offerte pour récupérer les fonds, mais l’attaquant n’a jamais répondu. »
Malgré des audits antérieurs réalisés par Trail of Bits et Cyfrin, le bug a été classé comme un « défaut de niveau logique » plutôt que comme une erreur d’implémentation. Depuis le piratage, la valeur totale verrouillée de Bunni est passée de plus de 60 millions de dollars à presque zéro, avec une activité de trading et de développement qui a complètement cessé.
Conséquences et avenir
Dans sa déclaration de fermeture, l’équipe de Bunni a indiqué qu’elle aurait nécessité « six à sept chiffres » en coûts d’audit et de surveillance, ainsi que plusieurs mois de redéveloppement, pour reprendre ses opérations en toute sécurité, une dépense qu’elle ne pouvait pas se permettre. Les utilisateurs pourront toujours retirer des fonds via le site web de Bunni jusqu’à nouvel ordre. Les actifs restants du trésor seront distribués aux détenteurs de BUNNI, LIT et veBUNNI sur la base d’un instantané, une fois le processus légal conclu. Les membres de l’équipe seront exclus de cette distribution.
En dernier recours, Bunni a re-licencié ses contrats intelligents v2 de BUSL à MIT, rendant ses technologies, y compris les LDF, les frais de hausse et le rééquilibrage autonome, librement disponibles pour d’autres développeurs. L’équipe a également déclaré qu’elle continuait à collaborer avec les forces de l’ordre pour tenter de récupérer les fonds volés. Cette fermeture s’ajoute à une année difficile pour la sécurité blockchain, avec plus de 3,1 milliards de dollars perdus dans des piratages et des exploits jusqu’à présent en 2023.
