Incident de sécurité sur Bunni
L’échange décentralisé Bunni a été victime d’un exploit, entraînant la perte d’environ 2,4 millions de dollars en stablecoins après que des attaquants ont manipulé les calculs de liquidité de la plateforme, selon des données on-chain fournies par plusieurs entreprises de sécurité Web3.
« L’application Bunni a été affectée par un exploit de sécurité, » a confirmé son équipe sur X mardi. « Par précaution, nous avons suspendu toutes les fonctions de contrat intelligent sur tous les réseaux. Notre équipe enquête activement et fournira des mises à jour bientôt, » a ajouté l’équipe.
L’attaque a ciblé les contrats intelligents basés sur Ethereum de Bunni. Les fonds ont été transférés vers une adresse détenant 1,33 million de dollars en USDC et 1,04 million de dollars en USDt. Un contributeur principal de Bunni a demandé aux utilisateurs de retirer leurs fonds de la plateforme dès que possible.
« Si vous avez de l’argent sur Bunni, retirez-le dès que possible, » ont-ils écrit sur X.
Bunni canalise sa liquidité via Euler Finance, une plateforme de prêt décentralisée. À la lumière de l’exploit, le co-fondateur et PDG d’Euler, Michael Bentley, a précisé que le protocole lui-même n’a pas été affecté par l’incident. Cointelegraph a contacté Bunni et Euler pour obtenir un commentaire, mais n’avait pas reçu de réponse au moment de la publication.
Analyse de l’exploit
Bien qu’un rapport technique post-mortem soit encore incomplet, une première analyse des développeurs et des chercheurs pointe vers un défaut dans la manière dont Bunni gère le rééquilibrage de la liquidité. Bunni, construit sur Uniswap v4, utilise un mécanisme personnalisé appelé Liquidity Distribution Function (LDF) au lieu de la logique par défaut d’Uniswap. Ce mécanisme permet à Bunni d’optimiser l’allocation de liquidité à travers des plages de prix, visant à augmenter les rendements pour les fournisseurs de liquidité.
Selon Victor Tran, co-fondateur de KyberNetwork, l’attaquant a pu manipuler la courbe LDF en exécutant des transactions de tailles spécifiques qui ont déclenché une logique de rééquilibrage défectueuse.
« L’exploitant a compris qu’il pouvait manipuler cette LDF en effectuant des transactions de tailles très spécifiques, » a écrit Tran sur X. « Ces montants soigneusement choisis ont provoqué une rupture du calcul de rééquilibrage, donnant de faux résultats sur la quantité que chaque part de LP devrait posséder, » a-t-il ajouté.
L’attaquant semble avoir exécuté l’exploit plusieurs fois, drainant progressivement les fonds du protocole sans déclencher immédiatement d’alarmes.
Contexte des hacks crypto
En août, des hackers et des escrocs crypto ont volé plus de 163 millions de dollars lors de 16 incidents distincts, marquant une augmentation de 15 % par rapport aux 142 millions de dollars de juillet. Bien que ce chiffre soit encore inférieur de 47 % par rapport à l’année précédente, il reflète une augmentation préoccupante des attaques ciblées alors que les marchés crypto prennent de l’ampleur.
PeckShield et d’autres experts en cybersécurité ont noté un changement stratégique dans le comportement des hackers, qui se concentrent désormais sur les échanges centralisés et les individus de grande valeur, plutôt que sur des cibles décentralisées plus petites. La plus grande perte en août est survenue lors d’une attaque d’ingénierie sociale, où un Bitcoiner a été trompé en envoyant 783 BTC (d’une valeur de 91 millions de dollars) à des attaquants se faisant passer pour des agents de support d’un échange crypto et d’un fournisseur de portefeuille matériel.
