Bunni DEX subit une perte de 2,4 millions de dollars après une attaque de rééquilibrage de liquidité

• L'exploitation de Bunni DEX a vidé 2,4 millions de dollars en ciblant la logique de liquidité via les hooks d'Uniswap v4.
• Les attaquants ont utilisé des transactions de tailles précises pour fausser les calculs et vider les stablecoins.
• Les piratages crypto ont augmenté à 163 millions de dollars en août, montrant l'évolution des menaces sur les marchés numériques.

La plateforme d'échange décentralisée Bunni a perdu environ 2,4 millions de dollars après que des attaquants ont exploité des vulnérabilités dans ses smart contracts basés sur Ethereum. Les données onchain provenant de plusieurs sociétés de sécurité Web3 ont confirmé la perte de stablecoins USDC et USDT. L'attaque a manipulé la logique de distribution de liquidité de Bunni, drainant les fonds vers une adresse détenant 1,33 million de dollars en USDC et 1,04 million de dollars en USDT. Ils ont exploité des faiblesses dans la Liquidity Distribution Function (LDF), une fonctionnalité conçue pour optimiser la liquidité sur différentes plages de prix.

Le contributeur principal de Bunni, @Psaul26ix, a exhorté les utilisateurs à retirer leurs fonds. « Si vous avez de l'argent sur Bunni, retirez-le dès que possible », a-t-il publié. Cet avertissement a suivi des préoccupations selon lesquelles les attaquants pourraient continuer à vider les actifs si la liquidité restait dans des pools vulnérables.

Plus tard, Bunni a confirmé la faille dans une déclaration sur X. « L'application Bunni a été affectée par une faille de sécurité », a annoncé l'équipe. Ils ont ajouté que toutes les fonctions des smart contracts sur les différents réseaux avaient été suspendues par précaution.

Hooks et la surface d’attaque en expansion

Bunni fonctionne sur le système de hooks d’Uniswap v4. Le CEO d’Uniswap Labs, Hayden Adams, a décrit les hooks comme des « plugins permettant de personnaliser la manière dont les pools, les swaps, les frais et les positions LP interagissent ». Cette fonctionnalité permet aux protocoles d’ajouter des fonctionnalités uniques au-dessus du cadre d’Uniswap.

Bien qu’Uniswap v4 inclue des fonctionnalités avancées telles que la comptabilité flash, l’architecture singleton et le support natif d’ETH, les hooks créent de nouveaux points d’attaque. L’exploitation de Bunni a démontré comment la personnalisation, bien que puissante, peut augmenter le risque lorsque les mécanismes manquent de tests approfondis.

Le cofondateur de KyberNetwork, Victor Tran, a détaillé le fonctionnement de l’exploit. « L’attaquant a compris qu’il pouvait manipuler cette LDF en effectuant des transactions de tailles très spécifiques », a-t-il écrit sur X. Tran a expliqué que ces transactions faussaient le calcul de rééquilibrage, produisant des résultats incorrects pour les parts des fournisseurs de liquidité.

L’attaquant a répété l’exploitation à plusieurs reprises sans déclencher d’alertes immédiates, vidant progressivement des millions. Cela a montré comment des vulnérabilités dans une logique personnalisée peuvent permettre des attaques furtives qui contournent les systèmes de détection standards.

Préoccupations de sécurité plus larges dans la DeFi

Les fonctions de liquidité de Bunni passent par Euler Finance, qui est un protocole de prêt et d’emprunt construisant également des produits financiers. Après l’attaque, le fondateur d’Euler, Michael Bentley, a expliqué que Bunni acheminait parfois la liquidité vers/depuis Euler, mais qu’Euler lui-même n’avait pas été affecté. Son explication visait à répondre aux inquiétudes concernant un risque de contagion plus large.   

L’un des plus grands arguments de vente des nouvelles solutions DeFi est l’ajout de fonctionnalités avancées telles que le rééquilibrage automatisé, des structures de frais flexibles et la disponibilité instantanée du capital. Mais ces innovations introduisent souvent de nouvelles vulnérabilités, car elles sont rarement testées sous pression face à des scénarios d’attaque réels. 

À lire aussi : Les piratages crypto atteignent 163 millions de dollars en août alors que les attaques augmentent de 15 %

Pour faire face à ces risques, les experts en sécurité soulignent l’importance des mesures préventives. Les pratiques recommandées incluent des audits formels, des simulations adversariales, des déploiements avec délais et des programmes de bug bounty bien financés. Ces mesures, notent les experts, sont essentielles pour les hooks et autres fonctionnalités qui modifient la comptabilité des actifs.

L’incident Bunni s’inscrit également dans une tendance plus large. Selon PeckShield, les hackers ont volé plus de 163 millions de dollars lors de 16 incidents en août, soit une augmentation de 15 % par rapport aux 142 millions de dollars de juillet. Bien que les vols restent 47 % inférieurs à ceux de l’année précédente, les attaquants semblent changer de stratégie.