L'échange décentralisé Bunni a suspendu ses opérations après un exploit de 8,4 millions de dollars exploitant une erreur d'arrondi de contrat intelligent, affectant deux pools.

Bunni Arrêté Après un Exploit de 8,4 Millions de Dollars

L'échange décentralisé Bunni a suspendu les dépôts et les swaps après avoir subi un exploit de 8,4 millions de dollars dû à une erreur d'arrondi dans son contrat intelligent, affectant la paire USDC/USDT sur Ethereum et la paire ETH/weETH sur Unichain.

L'Exploit en Détail

Bunni a identifié une erreur d'arrondi dans la mise à jour du solde inactif du contrat intelligent lors des retraits comme cause première. L'attaquant a utilisé un prêt flash pour manipuler les prix du pool et la liquidité avant d'exploiter l'erreur d'arrondi avec de petits retraits. Des exploits d'arrondi similaires se sont déjà produits, tels que celui sur Radiant Capital en janvier 2024, qui a entraîné une perte de 4 millions de dollars.

Le problème fondamental derrière le bug réside dans l'erreur d'arrondi au sein du calcul du montant mis à l'échelle dans la fonction de gravure du contrat AToken.

Impact et Réponse

Suite à l'exploit, Bunni a mis en pause toutes les fonctions de contrat intelligent sur tous les réseaux. L'équipe enquête activement et a offert une récompense de 10 % pour le retour des fonds volés. Les fonds volés ont été acheminés via Tornado Cash, un mixeur de crypto-monnaies. Bunni collabore avec des sociétés de cybersécurité, notamment Cyfrin Audits, pour enquêter sur l'incident.

Implications Marchandes et Préoccupations de Sécurité

L'exploit soulève des préoccupations concernant la sécurité et la fiabilité des protocoles DeFi. L'incident souligne la nécessité de mesures de sécurité robustes et d'une validation de sécurité continue dans l'espace DeFi. Comme suggéré dans "Meilleures pratiques de sécurité Web3 : Guide complet pour la protection des contrats intelligents en 2025", l'avenir de la sécurité Web3 ne réside pas dans l'audit réactif, mais dans la validation de sécurité proactive et automatisée qui peut remplacer entièrement les audits traditionnels. Rien qu'en 2024, la criminalité liée aux cryptos a coûté 40,9 milliards de dollars au monde et devrait atteindre plus de 51 milliards de dollars d'ici la fin de l'année.