Bunni DEX exploité pour 2,4 millions de dollars alors qu’une faille de liquidité force la fermeture

Bunni, une plateforme d’échange décentralisée multi-réseaux, a été exploitée pour 2,4 millions de dollars plus tôt dans la journée, l’obligeant à suspendre ses opérations en guise de contre-mesure.

Selon l’équipe du projet, l’exploit a été identifié dans ses contrats intelligents basés sur Ethereum, ce qui a incité le projet à suspendre immédiatement toutes les fonctions de protocole sur les réseaux pris en charge.

« Nous avons suspendu toutes les fonctions des contrats intelligents sur tous les réseaux. Notre équipe enquête activement et fournira bientôt des mises à jour. Merci de votre patience", a annoncé Bunni via un post du 1er septembre.

En examinant les données on-chain, le portefeuille utilisé dans l’exploit a montré que les attaquants ont siphonné environ 2,4 millions de dollars en stablecoins, dont 1,33 million de dollars en USDC et 1,04 million de dollars en USDT.

Pourtant, le tableau est peut-être plus sombre qu’il n’y paraît à première vue. Certaines estimations circulant parmi les détectives de la blockchain suggèrent que les pertes réelles pourraient s’étendre bien au-delà de ce chiffre, avec des totaux grimpant à plus de 8 millions de dollars. Voir ci-dessous.

Les fonds volés ont ensuite été acheminés dans deux portefeuilles, ce qui est une caractéristique familière des exploits DeFi coordonnés où la liquidité est rapidement consolidée.

Les attaquants ont ciblé la logique de liquidité de Bunni

Au moment de mettre sous presse, Bunni n’a pas encore publié de post-mortem officiel de l’incident, mais les développeurs et les chercheurs qui ont commencé les examens préliminaires pensent que l’attaque provenait d’une faille dans la fonction de distribution de liquidité (LDF) de Bunni.

Contrairement à d’autres DEX comme le modèle standard d’Uniswap, Bunni utilise ce mécanisme pour optimiser les rendements en distribuant la liquidité sur toutes les gammes de prix.

Selon Victor Tran, cofondateur de Kyber Network, l’attaquant a manipulé la courbe en exécutant des transactions de tailles très spécifiques qui ont trompé la logique de rééquilibrage en calculant mal la valeur de la part de chaque fournisseur de liquidités.

En pratique, cela permettait à l’exploiteur de répéter le processus plusieurs fois sans déclencher d’alarmes, vidant ainsi progressivement le bassin.

Étant donné qu’aucun post-mortem officiel n’a été publié, la communauté attend des éclaircissements pour savoir s’il s’agissait d’un oubli de codage isolé ou d’un défaut architectural plus profond.

Les exploits de la DeFi continuent d’ébranler les investisseurs en cryptomonnaies

L’incident fait également suite à une série de vulnérabilités ciblant les plateformes DeFi émergentes.

Quelques mois plus tôt, Four.Meme, une rampe de lancement de memecoin construite sur BNB Chain, a été la cible d’exploits consécutifs en février et mars.

L’attaque de mars, menée via une stratégie de manipulation en sandwich, a drainé environ 120 000 dollars, quelques semaines seulement après une perte distincte de 183 000 dollars.

Sur l’ensemble du marché, l’exploitation est devenue presque une épreuve régulière. Rien qu’au cours des deux derniers mois, l’industrie de la cryptographie a perdu au moins 300 millions de dollars de fonds.

Rien qu’en juillet, les pirates ont empoché environ 142 millions de dollars sur 17 incidents, l’indien exchange crypto CoinDCX ayant subi le coup le plus durement touché en raison d’une violation de 44 millions de dollars.

Les pertes ont encore augmenté en août pour atteindre environ 163 millions de dollars, répartis sur 16 incidents distincts.

Le plus important est survenu lorsqu’un Bitcoiner a été la proie d’une ruse d’ingénierie sociale, cédant 783 BTC d’une valeur de 91 millions de dollars.

La bourse turque Btcturk a également fait état d’une perte d’environ 50 millions de dollars, les fonds ayant été siphonnés de ses portefeuilles chauds le même mois.