Le protocole de finance d\u00e9centralis\u00e9e Bunni<\/strong> a subi une exploitation de 8,4 millions de dollars<\/strong> le 2 septembre<\/strong>, lorsqu’un attaquant sophistiqu\u00e9 a utilis\u00e9 un pr\u00eat flash pour manipuler les pools de liquidit\u00e9 sur Ethereum<\/strong> et Unichain<\/strong>. Cet incident, qui a cibl\u00e9 les pools weETH\/ETH<\/em> et USDC\/USDT<\/em>, a \u00e9t\u00e9 attribu\u00e9 \u00e0 un d\u00e9faut dans la logique du contrat intelligent de Bunni, impliquant des erreurs d’arrondi<\/strong>. Bunni a bl\u00e2m\u00e9 un bug d’arrondi pour une exploitation de 2,3 millions de dollars<\/strong> et a offert une prime de 10 %<\/strong> pour le retour des fonds.<\/p>\n Selon le rapport post-mortem de Bunni, l’exploitation s’est d\u00e9roul\u00e9e en trois \u00e9tapes. L’attaquant a d’abord emprunt\u00e9 3 millions de USDT<\/strong> via un pr\u00eat flash, qu’il a utilis\u00e9 pour manipuler le prix au comptant du pool USDC\/USDT<\/em> \u00e0 des niveaux extr\u00eames. Avec le solde actif de USDC du pool r\u00e9duit \u00e0 seulement 28 wei<\/strong>, l’exploitant a initi\u00e9 44 petits retraits<\/strong>. Cela a exploit\u00e9 une erreur d’arrondi dans le code de Bunni, r\u00e9duisant de mani\u00e8re disproportionn\u00e9e la liquidit\u00e9 du pool de plus de 84 %<\/strong>. Avec la liquidit\u00e9 artificiellement r\u00e9prim\u00e9e, l’attaquant a r\u00e9alis\u00e9 une attaque sandwich<\/strong>, ex\u00e9cutant de grands \u00e9changes qui ont d\u00e9form\u00e9 les prix. En inversant la r\u00e9duction de liquidit\u00e9 ant\u00e9rieure, il a pu extraire des profits avant de rembourser le pr\u00eat flash. Au total, l’exploitation a rapport\u00e9 environ 1,33 million de USDC<\/strong> et 1 million de USDT<\/strong> \u00e0 l’attaquant.<\/p>\n La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 blockchain Cyfrin<\/strong> a confirm\u00e9 que la vuln\u00e9rabilit\u00e9 provenait de la mani\u00e8re dont le contrat intelligent de Bunni arrondissait les soldes lors des retraits. Bien que le m\u00e9canisme ait \u00e9t\u00e9 con\u00e7u pour favoriser la s\u00e9curit\u00e9 du pool en sous-estimant la liquidit\u00e9, des retraits r\u00e9p\u00e9t\u00e9s et minimes ont cr\u00e9\u00e9 des conditions propices \u00e0 l’exploitation de la logique d’arrondi \u00e0 grande \u00e9chelle. Bunni a not\u00e9 que son plus grand pool, le pair USDC\/USD\u20ae0<\/em> d’Unichain, a \u00e9t\u00e9 \u00e9pargn\u00e9 en raison d’une liquidit\u00e9 de pr\u00eat flash insuffisante pour mener une attaque. Exploiter ce pool aurait n\u00e9cessit\u00e9 environ 17 millions de dollars<\/strong> d’actifs emprunt\u00e9s, mais seulement 11 millions<\/strong> \u00e9taient disponibles sur les plateformes de pr\u00eat \u00e0 ce moment-l\u00e0.<\/p>\n Bunni a confirm\u00e9 que les actifs vol\u00e9s sont maintenant r\u00e9partis sur deux portefeuilles li\u00e9s \u00e0 l’attaquant. Les enqu\u00eateurs ont retrac\u00e9 les origines des fonds, mais ont atteint une impasse apr\u00e8s avoir d\u00e9couvert que les portefeuilles avaient \u00e9t\u00e9 financ\u00e9s via Tornado Cash<\/strong>, un outil de confidentialit\u00e9 sanctionn\u00e9. L’\u00e9quipe a contact\u00e9 directement l’exploitant sur la cha\u00eene, offrant une prime de 10 %<\/strong> en \u00e9change du retour des fonds restants. Les \u00e9changes centralis\u00e9s ont \u00e9galement \u00e9t\u00e9 inform\u00e9s pour emp\u00eacher toute tentative de sortie, tandis que les forces de l’ordre ont \u00e9t\u00e9 engag\u00e9es pour explorer les options de r\u00e9cup\u00e9ration.<\/p>\n Dans l’imm\u00e9diat, Bunni a suspendu toutes les op\u00e9rations, mais a depuis r\u00e9activ\u00e9 les retraits pour permettre aux fournisseurs de liquidit\u00e9 de r\u00e9cup\u00e9rer leurs d\u00e9p\u00f4ts. Les d\u00e9p\u00f4ts et les \u00e9changes restent gel\u00e9s pendant que les d\u00e9veloppeurs travaillent sur une solution. Changer la direction de l’arrondi de la fonction affect\u00e9e neutralise le vecteur d’exploitation actuel, bien que l’\u00e9quipe ait reconnu que des tests plus approfondis et des am\u00e9liorations de s\u00e9curit\u00e9 sont n\u00e9cessaires avant de rouvrir compl\u00e8tement.<\/p>\n Bunni, g\u00e9r\u00e9 par une \u00e9quipe de six personnes, a d\u00e9clar\u00e9 qu’il restait engag\u00e9 \u00e0 poursuivre le d\u00e9veloppement malgr\u00e9 ce revers. Le protocole a introduit des concepts novateurs tels que les Fonctions de Densit\u00e9 de Liquidit\u00e9 (LDF)<\/strong>, que l’\u00e9quipe affirme repr\u00e9senter une nouvelle g\u00e9n\u00e9ration de teneurs de march\u00e9 automatis\u00e9s. <\/p>\n \u00ab\u00a0Nous avons pass\u00e9 des ann\u00e9es \u00e0 construire Bunni parce que nous croyons que c’est l’avenir des AMM,\u00a0\u00bb<\/p><\/blockquote>\n a d\u00e9clar\u00e9 l’\u00e9quipe dans son communiqu\u00e9, tout en promettant de renforcer sa base de code et ses cadres de test pour pr\u00e9venir des attaques similaires.<\/p>\n Ao\u00fbt marque le troisi\u00e8me pire mois pour la s\u00e9curit\u00e9 crypto, avec 163 millions de dollars<\/strong> perdus \u00e0 cause de hacks et d’escroqueries. Bunni, qui affichait autrefois plus de 80 millions de dollars<\/strong> de valeur totale verrouill\u00e9e (TVL) sur BNB Chain, ne d\u00e9tient maintenant qu’un peu plus de 50 millions de dollars<\/strong> apr\u00e8s l’exploitation. Cet incident s’ajoute \u00e0 une s\u00e9rie d’attaques et d’escroqueries frappant le secteur. Juste un jour plus t\u00f4t, un utilisateur de Venus Protocol<\/strong> a perdu 13,5 millions de dollars<\/strong> dans une escroquerie de phishing. Selon la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 blockchain PeckShield<\/strong>, la victime a sans le savoir approuv\u00e9 une transaction malveillante, accordant des autorisations de jetons qui ont permis le vol.<\/p>\n Bien que les premiers rapports aient sugg\u00e9r\u00e9 que 27 millions de dollars<\/strong> avaient \u00e9t\u00e9 drain\u00e9s, une analyse ult\u00e9rieure a montr\u00e9 que des positions de dette avaient \u00e9t\u00e9 incluses par erreur dans le chiffre. Venus a soulign\u00e9 que ses contrats intelligents restaient s\u00e9curis\u00e9s et a confirm\u00e9 que seul l’utilisateur avait \u00e9t\u00e9 compromis.<\/p>\n L’incident a suivi une augmentation des exploits li\u00e9s \u00e0 la crypto en ao\u00fbt, les donn\u00e9es de PeckShield montrant 163 millions de dollars<\/strong> vol\u00e9s lors de 16 attaques majeures<\/strong>, contre 142 millions de dollars<\/strong> en juillet. Les pertes ont fait d’ao\u00fbt le troisi\u00e8me pire mois pour la s\u00e9curit\u00e9 crypto en 2025. Le plus grand vol unique a eu lieu le 19 ao\u00fbt<\/strong>, lorsqu’un d\u00e9tenteur de Bitcoin a perdu 783 BTC<\/strong>, d’une valeur de 91,4 millions de dollars<\/strong>, dans un sch\u00e9ma d’ing\u00e9nierie sociale. Les attaquants auraient pr\u00e9tendu \u00eatre des employ\u00e9s du support de portefeuille mat\u00e9riel pour obtenir des informations d’identification sensibles avant de blanchir les fonds via Wasabi Wallet<\/strong>.<\/p>\n L’\u00e9change turc BtcTurk<\/strong> a \u00e9galement \u00e9t\u00e9 touch\u00e9, perdant 54 millions de dollars<\/strong> dans une violation de portefeuille chaud multi-cha\u00eenes \u00e0 travers sept r\u00e9seaux blockchain. Cet incident a port\u00e9 ses pertes cumul\u00e9es \u00e0 plus de 100 millions de dollars<\/strong> apr\u00e8s un piratage ant\u00e9rieur en juin 2024. D’autres cas notables incluent la perte de 7 millions de dollars<\/strong> d’ODIN\u2022FUN<\/strong>, l’exploitation de 5 millions de dollars<\/strong> de BetterBank.io<\/strong> et l’effondrement de 4,5 millions de dollars<\/strong> de CrediX Finance<\/strong>, qui s’est transform\u00e9 en une escroquerie de sortie apr\u00e8s que les d\u00e9veloppeurs ont abandonn\u00e9 le projet.<\/p>\n Avec le phishing, les vuln\u00e9rabilit\u00e9s des \u00e9changes et les escroqueries de sortie entra\u00eenant des pertes croissantes, ao\u00fbt a soulign\u00e9 comment les d\u00e9fauts techniques et l’erreur humaine continuent de tourmenter l’industrie crypto.<\/p>\n","protected":false},"excerpt":{"rendered":" Exploitation du protocole Bunni Le protocole de finance d\u00e9centralis\u00e9e Bunni a subi une exploitation de 8,4 millions de dollars le 2 septembre, lorsqu’un attaquant sophistiqu\u00e9 a utilis\u00e9 un pr\u00eat flash pour manipuler les pools de liquidit\u00e9 sur Ethereum et Unichain. Cet incident, qui a cibl\u00e9 les pools weETH\/ETH et USDC\/USDT, a \u00e9t\u00e9 attribu\u00e9 \u00e0 un d\u00e9faut dans la logique du contrat intelligent de Bunni, impliquant des erreurs d’arrondi. Bunni a bl\u00e2m\u00e9 un bug d’arrondi pour une exploitation de 2,3 millions de dollars et a offert une prime de 10 % pour le retour des fonds. D\u00e9roulement de l’exploitation Selon le<\/p>\n","protected":false},"author":3,"featured_media":8766,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[344,13,65,1525,21,2038,8386,77,8387],"class_list":["post-8767","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-bnb-chain","tag-ethereum","tag-hack","tag-peckshield","tag-tether-usdt","tag-tornado-cash","tag-unichain","tag-usdc","tag-venus-protocol"],"yoast_description":"Le protocole de finance d\u00e9centralis\u00e9e Bunni a subi une exploitation de 8,4 millions de dollars en raison d'une erreur d'arrondi dans son contrat intelligent, entra\u00eenant une manipulation significative de la liquidit\u00e9.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/8767","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/comments?post=8767"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/8767\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media\/8766"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media?parent=8767"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/categories?post=8767"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/tags?post=8767"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}D\u00e9roulement de l’exploitation<\/h2>\n
Analyse de la vuln\u00e9rabilit\u00e9<\/h2>\n
R\u00e9actions et mesures prises<\/h2>\n
Engagement futur de Bunni<\/h2>\n
Contexte de s\u00e9curit\u00e9 dans le secteur crypto<\/h2>\n