Bunni DEX ferme après un piratage de 8,4 millions de dollars alors qu'octobre fait une nouvelle victime parmi les projets crypto

Le protocole d’échange décentralisé Bunni a officiellement annoncé sa fermeture après avoir subi une attaque de 8,4 millions de dollars le mois dernier.

Cela marque le deuxième projet crypto à cesser ses activités en octobre, après l’organisation Kadena, qui a également décidé de se retirer de son projet face à des défis persistants.

Le piratage de Bunni : Que s’est-il passé ?

Le 2 septembre, un attaquant a dérobé 8,4 millions de dollars à la plateforme Bunni. Dans un rapport post-mortem détaillé, la plateforme a expliqué que le pirate avait exploité un bug de direction d’arrondi dans la logique de retrait du smart contract, utilisant une combinaison de flashloans, de micro-retraits et d’attaques sandwich.

La vulnérabilité a permis à l’attaquant de réduire et d’augmenter artificiellement la liquidité totale du pool, extrayant des profits à partir d’échanges manipulés. Bunni a précisé que deux pools — weETH/ETH sur Unichain et USDC/USDT sur Ethereum — ont été affectés. Cependant, le plus grand pool, Unichain USDC/USD₮0, a échappé à l’exploitation en raison d’une liquidité de flashloan insuffisante.

« Cette attaque a été une chose horrible qui a été difficile pour les utilisateurs de Bunni ainsi que pour notre équipe. Nous sommes une petite équipe de 6 personnes passionnées par la construction dans la DeFi et par le progrès de l’industrie. Nous avons passé des années de notre vie et investi des millions de dollars pour lancer Bunni, car nous croyons fermement qu’il s’agit de l’avenir des AMM et qu’il traitera des trillions de dollars de valeur », a écrit l’équipe.

Les données de DefiLlama ont montré qu’après le piratage, la valeur totale verrouillée (TVL) de Bunni est passée de 50,82 millions de dollars à seulement 1,3 million de dollars en un mois, soit une baisse de 97,44 %.

La TVL de Bunni avant et après le piratage. Source : DefiLlama

Une attaque de 8,4 millions de dollars force la DEX à cesser ses activités

Malgré de multiples tentatives de récupération, y compris une proposition permettant à l’attaquant de conserver 10 % des fonds volés si le reste était restitué, ces tentatives se sont révélées infructueuses.

Dans une mise à jour récente, Bunni a annoncé sa décision de mettre fin à ses activités, invoquant la lourde pression causée par l’attaque. L’équipe a noté qu’une relance nécessiterait des audits complets et une surveillance constante, avec des coûts estimés allant de centaines de milliers à des millions de dollars, ce qui dépassait le capital disponible.

« Il faudrait également des mois de développement et d’efforts de business development rien que pour ramener Bunni à son niveau d’avant l’attaque, ce que nous ne pouvons pas nous permettre. Ainsi, nous avons décidé qu’il était préférable de fermer Bunni », indique l’annonce.

Bunni a informé ses utilisateurs qu’ils pouvaient retirer leurs fonds via le site web. De plus, sur la base d’un snapshot, l’équipe prévoit de distribuer les actifs restants du trésor aux détenteurs de BUNNI, LIT et veBUNNI, à l’exclusion des membres de l’équipe.

Les détails de la distribution seront publiés après la finalisation des procédures juridiques. Parallèlement, l’équipe coopère avec les forces de l’ordre dans le but de récupérer les fonds volés.

« Les smart contracts Bunni v2 ont été relicenciés de BUSL à MIT, permettant à tous d’utiliser nos innovations telles que les LDFs, les frais de surge et le rééquilibrage autonome. Nous avons fait progresser l’espace AMM d’une génération, et il serait dommage que nos efforts soient vains », a ajouté l’équipe.

Les plateformes et exchanges crypto font face à des menaces croissantes, des incidents comme celui de Bunni soulignant la nécessité d’une sécurité renforcée. L’industrie a perdu 127,06 millions de dollars en septembre, avec 20 attaques de grande ampleur recensées.

Outre les raisons de sécurité, la volatilité du marché a également forcé des plateformes à quitter le marché. Hier, l’organisation Kadena a cessé toutes ses activités commerciales, laissant la blockchain Kadena aux mineurs indépendants.