Bunni DEX ferme définitivement après un piratage de 8,4 millions de dollars, car l'équipe cite des fonds de récupération insuffisants.

Un échange décentralisé construit avec la technologie d'un certain DEX a annoncé qu'il fermerait définitivement après qu'une faille de sécurité de 8,4 millions de dollars a vidé ses réserves, l'équipe de développement déclarant qu'elle manque des fonds nécessaires pour relancer. Bunni DEX a informé les utilisateurs qu'ils peuvent retirer leurs actifs restants, mais le trésor de la plateforme sera réparti entre les détenteurs de tokens pendant que l'entreprise cesse ses opérations.

Que savoir :

• Les hackers ont exploité le système de liquidité personnalisé de Bunni DEX le 2 septembre en utilisant des prêts rapides pour manipuler les calculs, drainant des fonds à travers les réseaux Ethereum et Unichain malgré des audits de sécurité précédents.
• La valeur totale bloquée de la plateforme avait augmenté de 2,2 millions de $ à presque $80 millions avant que l'attaque n'élimine des mois de croissance en quelques secondes.
• La fermeture s'ajoute à une année problématique pour les finances décentralisées, avec plus de 3,1 milliards de dollars perdus dans des exploits en 2025 selon la société de sécurité Hacken.

Détails de l'exploit et conséquences financières

L'écart s'est dirigé vers la Fonction de Distribution de Liquidité de Bunni, un mécanisme propriétaire que l'équipe a développé pour optimiser la liquidité de négociation. Les attaquants ont utilisé des prêts rapides—des prêts temporaires et non garantis qui doivent être remboursés dans la même transaction de blockchain—pour manipuler les calculs internes de la plateforme. Cela a provoqué des erreurs d'arrondi qui ont permis aux hackers d'extraire systématiquement des fonds.

Tant Trail of Bits que Cyfrin ont réalisé des audits de sécurité sur le code de Bunni avant l'attaque. Cependant, la vulnérabilité au niveau logique n'a été détectée par aucune des deux firmes.

L'équipe a immédiatement suspendu tous les contrats intelligents après avoir découvert la faille.

Ils ont publié que le relancement de la plateforme nécessiterait des chiffres de six à sept zéros pour des audits complets et des systèmes de surveillance. “Pour relancer en toute sécurité, nous aurions besoin de chiffres de six à sept zéros pour les audits et la surveillance, un capital que nous n'avons tout simplement pas,” a écrit l'équipe.

Le trésor de Bunni sera distribué entre les détenteurs des tokens BUNNI, LIT et veBUNNI. L'équipe de développement a déclaré qu'elle serait exclue de tout paiement de compensation. Les utilisateurs ont été informés de retirer leurs actifs restants “jusqu'à nouvel ordre”.

Avant de fermer, l'équipe a changé la licence de ses contrats intelligents de la version 2 de la Business Source License à MIT. Cela ouvre la technologie de la plateforme—y compris les fonctions de distribution de liquidités, les frais d'augmentation et les caractéristiques de rééquilibrage autonome—à d'autres développeurs.

Implications de l'industrie et préoccupations en matière de sécurité

L'effondrement de la plateforme souligne les vulnérabilités persistantes dans les protocoles de finances décentralisées. Bunni avait connu une croissance rapide dans les mois précédant l'attaque, les données de la plateforme montrant que sa valeur totale verrouillée était passée de 2,2 millions $ à presque $80 millions. La faille a anéanti ce progrès en quelques secondes.

Les attaques de prêts rapides sont devenues un problème récurrent dans les finances décentralisées. Ces exploits tirent parti du fait que les transactions blockchain s'exécutent de manière atomique—ce qui signifie que toutes les opérations dans une transaction réussissent ou échouent complètement. Les attaquants empruntent de grandes sommes, manipulent les prix ou les calculs, profitent de la manipulation, remboursent le prêt et gardent la différence, le tout dans une seule transaction.

La perte de 8,4 millions de dollars dans Bunni représente une fraction des dommages observés dans le secteur de la finance décentralisée cette année.

Les chercheurs en sécurité de Hacken ont signalé plus de 3,1 milliards de dollars de pertes totales dues à des exploits en 2025.

L'incident pourrait inciter les développeurs à reconsidérer la manière dont ils mettent en œuvre la logique personnalisée des contrats intelligents. Les observateurs de l'industrie suggèrent que les plateformes augmenteront probablement leurs dépenses en audits de sécurité, mettront en œuvre des systèmes de surveillance en temps réel et élargiront les programmes de récompenses pour les failles qui paient les chercheurs pour identifier les vulnérabilités avant que les attaquants ne puissent les exploiter.

Termes clés dans la finance décentralisée

La valeur totale bloquée fait référence à la quantité de cryptomonnaies déposées dans un protocole de finance décentralisée, servant de mesure de la taille de la plateforme et de la confiance de l'utilisateur. Les prêts rapides sont des prêts non garantis qui doivent être empruntés et remboursés dans la même transaction de blockchain, typiquement utilisés pour l'arbitrage mais également exploités par des attaquants. Les contrats intelligents sont des programmes auto-exécutables sur des blockchains qui appliquent automatiquement les termes d'un accord sans intermédiaires.

Les fonctions de distribution de liquidité gèrent comment la liquidité de négociation est allouée à travers différents intervalles de prix sur un échange décentralisé, dans le but d'améliorer l'efficacité du capital tant pour les traders que pour les fournisseurs de liquidité.

Réflexions finales

La fermeture de Bunni DEX illustre les défis financiers et techniques auxquels sont confrontées les plateformes de finances décentralisées après de grandes failles de sécurité. La décision de l'équipe d'ouvrir le code de sa technologie avant de fermer peut permettre à d'autres développeurs d'apprendre des vulnérabilités de la plateforme tout en construisant des projets futurs.