Exploitation du protocole Bunni
Le protocole de finance décentralisée Bunni a subi une exploitation de 8,4 millions de dollars le 2 septembre, lorsqu’un attaquant sophistiqué a utilisé un prêt flash pour manipuler les pools de liquidité sur Ethereum et Unichain. Cet incident, qui a ciblé les pools weETH/ETH et USDC/USDT, a été attribué à un défaut dans la logique du contrat intelligent de Bunni, impliquant des erreurs d’arrondi. Bunni a blâmé un bug d’arrondi pour une exploitation de 2,3 millions de dollars et a offert une prime de 10 % pour le retour des fonds.
Déroulement de l’exploitation
Selon le rapport post-mortem de Bunni, l’exploitation s’est déroulée en trois étapes. L’attaquant a d’abord emprunté 3 millions de USDT via un prêt flash, qu’il a utilisé pour manipuler le prix au comptant du pool USDC/USDT à des niveaux extrêmes. Avec le solde actif de USDC du pool réduit à seulement 28 wei, l’exploitant a initié 44 petits retraits. Cela a exploité une erreur d’arrondi dans le code de Bunni, réduisant de manière disproportionnée la liquidité du pool de plus de 84 %. Avec la liquidité artificiellement réprimée, l’attaquant a réalisé une attaque sandwich, exécutant de grands échanges qui ont déformé les prix. En inversant la réduction de liquidité antérieure, il a pu extraire des profits avant de rembourser le prêt flash. Au total, l’exploitation a rapporté environ 1,33 million de USDC et 1 million de USDT à l’attaquant.
Analyse de la vulnérabilité
La société de sécurité blockchain Cyfrin a confirmé que la vulnérabilité provenait de la manière dont le contrat intelligent de Bunni arrondissait les soldes lors des retraits. Bien que le mécanisme ait été conçu pour favoriser la sécurité du pool en sous-estimant la liquidité, des retraits répétés et minimes ont créé des conditions propices à l’exploitation de la logique d’arrondi à grande échelle. Bunni a noté que son plus grand pool, le pair USDC/USD₮0 d’Unichain, a été épargné en raison d’une liquidité de prêt flash insuffisante pour mener une attaque. Exploiter ce pool aurait nécessité environ 17 millions de dollars d’actifs empruntés, mais seulement 11 millions étaient disponibles sur les plateformes de prêt à ce moment-là.
Réactions et mesures prises
Bunni a confirmé que les actifs volés sont maintenant répartis sur deux portefeuilles liés à l’attaquant. Les enquêteurs ont retracé les origines des fonds, mais ont atteint une impasse après avoir découvert que les portefeuilles avaient été financés via Tornado Cash, un outil de confidentialité sanctionné. L’équipe a contacté directement l’exploitant sur la chaîne, offrant une prime de 10 % en échange du retour des fonds restants. Les échanges centralisés ont également été informés pour empêcher toute tentative de sortie, tandis que les forces de l’ordre ont été engagées pour explorer les options de récupération.
Dans l’immédiat, Bunni a suspendu toutes les opérations, mais a depuis réactivé les retraits pour permettre aux fournisseurs de liquidité de récupérer leurs dépôts. Les dépôts et les échanges restent gelés pendant que les développeurs travaillent sur une solution. Changer la direction de l’arrondi de la fonction affectée neutralise le vecteur d’exploitation actuel, bien que l’équipe ait reconnu que des tests plus approfondis et des améliorations de sécurité sont nécessaires avant de rouvrir complètement.
Engagement futur de Bunni
Bunni, géré par une équipe de six personnes, a déclaré qu’il restait engagé à poursuivre le développement malgré ce revers. Le protocole a introduit des concepts novateurs tels que les Fonctions de Densité de Liquidité (LDF), que l’équipe affirme représenter une nouvelle génération de teneurs de marché automatisés.
« Nous avons passé des années à construire Bunni parce que nous croyons que c’est l’avenir des AMM, »
a déclaré l’équipe dans son communiqué, tout en promettant de renforcer sa base de code et ses cadres de test pour prévenir des attaques similaires.
Contexte de sécurité dans le secteur crypto
Août marque le troisième pire mois pour la sécurité crypto, avec 163 millions de dollars perdus à cause de hacks et d’escroqueries. Bunni, qui affichait autrefois plus de 80 millions de dollars de valeur totale verrouillée (TVL) sur BNB Chain, ne détient maintenant qu’un peu plus de 50 millions de dollars après l’exploitation. Cet incident s’ajoute à une série d’attaques et d’escroqueries frappant le secteur. Juste un jour plus tôt, un utilisateur de Venus Protocol a perdu 13,5 millions de dollars dans une escroquerie de phishing. Selon la société de sécurité blockchain PeckShield, la victime a sans le savoir approuvé une transaction malveillante, accordant des autorisations de jetons qui ont permis le vol.
Bien que les premiers rapports aient suggéré que 27 millions de dollars avaient été drainés, une analyse ultérieure a montré que des positions de dette avaient été incluses par erreur dans le chiffre. Venus a souligné que ses contrats intelligents restaient sécurisés et a confirmé que seul l’utilisateur avait été compromis.
L’incident a suivi une augmentation des exploits liés à la crypto en août, les données de PeckShield montrant 163 millions de dollars volés lors de 16 attaques majeures, contre 142 millions de dollars en juillet. Les pertes ont fait d’août le troisième pire mois pour la sécurité crypto en 2025. Le plus grand vol unique a eu lieu le 19 août, lorsqu’un détenteur de Bitcoin a perdu 783 BTC, d’une valeur de 91,4 millions de dollars, dans un schéma d’ingénierie sociale. Les attaquants auraient prétendu être des employés du support de portefeuille matériel pour obtenir des informations d’identification sensibles avant de blanchir les fonds via Wasabi Wallet.
L’échange turc BtcTurk a également été touché, perdant 54 millions de dollars dans une violation de portefeuille chaud multi-chaînes à travers sept réseaux blockchain. Cet incident a porté ses pertes cumulées à plus de 100 millions de dollars après un piratage antérieur en juin 2024. D’autres cas notables incluent la perte de 7 millions de dollars d’ODIN•FUN, l’exploitation de 5 millions de dollars de BetterBank.io et l’effondrement de 4,5 millions de dollars de CrediX Finance, qui s’est transformé en une escroquerie de sortie après que les développeurs ont abandonné le projet.
Avec le phishing, les vulnérabilités des échanges et les escroqueries de sortie entraînant des pertes croissantes, août a souligné comment les défauts techniques et l’erreur humaine continuent de tourmenter l’industrie crypto.
