Une nouvelle attaque a frappé les fonds LP sur Ethereum : le protocole Bunni, spécialisé dans la gestion de la liquidité, a temporairement suspendu les contrats après un retrait anormal estimé entre environ 2,3 et 2,4 millions de dollars – comme l'a rapporté The Block et conformément aux risques analysés dans le rapport de sécurité OpenZeppelin. Les analyses initiales indiquent que l'exploitation pourrait avoir tiré parti d'une vulnérabilité dans la fonction de distribution de liquidité, altérant de manière inappropriée les parts LP.
Selon les données collectées par notre équipe d'analyse on-chain, mises à jour au 2 septembre 2025, les transactions suspectes présentent des schémas répétés et des transferts fractionnés vers plusieurs adresses, cohérents avec une attaque visant à exploiter le rééquilibrage. Nos vérifications croisées sur les explorateurs publics indiquent des retraits calibrés en USDC et USDT pour environ 1,33 million de dollars et 1,04 million de dollars respectivement. Les analystes de l'industrie notent que les vulnérabilités liées à la logique de rééquilibrage et aux oracles sont une cause récurrente dans les incidents récents de DeFi.
En bref : ce que nous savons jusqu'à présent sur le piratage de Bunni DEX
Qui : Bunni, protocole de gestion de liquidité sur Ethereum.
Quoi : Drainage de fonds des contrats intelligents et suspension opérationnelle en tant que mesure de sécurité préventive.
Dove : réseau Ethereum, avec des mouvements traçables sur la chaîne.
Quand : Événement détecté dans les jours précédant le 2 septembre 2025 ; les enquêtes sont toujours en cours.
Comment : Par la manipulation des mécanismes de rééquilibrage de liquidité, ce qui a conduit à des erreurs de calcul dans les parts de LP.
Chronologie des événements
Séquence essentielle
Détection de mouvements inhabituels dans les pools avec des stablecoins, en particulier USDC et USDT.
Communication officielle de l'équipe, confirmation de l'incident et suspension des contrats pour contenir les dommages.
Analyse préliminaire on-chain : pertes estimées entre environ 2,3 et 2,4 millions de dollars, avec des retraits répétés et des montants modulés.
Initiation des vérifications techniques sur la fonction de distribution de liquidité et le mécanisme de rééquilibrage.
Détails on-chain
Actifs affectés : stablecoin USDC ( environ 1,33 million de dollars ) et USDT ( environ 1,04 million de dollars ), qui convergent ensemble vers l'estimation des pertes totales.
Modèle : une série de transactions ciblées avec des montants calibrés pour forcer un rééquilibrage défavorable pour les LPs.
Adresses et hachages : examinés par diverses sociétés d'analyse de blockchain, bien que des références directes aux explorateurs n'aient pas encore été publiquement publiées.
Divers médias, y compris The Block et BitcoinEthereumNews, ont rapporté ces éléments, mettant en évidence des schémas répétés de transferts suspects dans les heures précédant la suspension des contrats.
Mécanique de la vulnérabilité
Comment fonctionne la distribution de liquidités
Bunni utilise une fonction de distribution de liquidité qui permet d'allouer des capitaux dans des plages de prix spécifiques, optimisant ainsi les rendements des LP grâce à un rééquilibrage induit par les transactions. L'objectif est de limiter l'inertie des fonds ; cependant, cette approche peut ouvrir de nouvelles surfaces d'attaque si la logique de rééquilibrage n'est pas suffisamment robuste.
Où le système est resté bloqué
Manipulation de la courbe par des opérations de trading ciblées et répétées.
Calcul des positions LP qui, après rééquilibrage, ont entraîné des parts incorrectes.
Drainage progressif des fonds, orchestré pour éviter l'activation des déclencheurs de défense automatiques.
En essence, une logique de rééquilibrage non résiliente a permis aux attaquants d'extraire de la valeur des LP sans déclencher immédiatement les mécanismes d'alerte. Un aspect intéressant est la modularité des montants, indicative d'une stratégie bien ajustée.
Impact et Chiffres
Perte estimée : environ 2,3 à 2,4 millions de dollars.
Tokens impliqués : USDC et USDT.
État opérationnel : les contrats ont été suspendus et les fonctions intelligentes sont actuellement arrêtées.
Point critique : le comptage des parts de LP et la gestion de la liquidité pendant les processus de rééquilibrage.
Réactions officielles et contexte
L'équipe Bunni a annoncé la suspension des contrats comme mesure de sécurité immédiate, précisant qu'une analyse post-incident est en cours pour identifier et corriger la vulnérabilité. Pour le moment, aucune citation directe ou déclaration officielle avec des horodatages vérifiables n'a été fournie ; les enquêtes sont en cours et la priorité reste de sécuriser les contrats et la liquidité restante.
Mesures d'atténuation
Audits en cours sur les fonctions de rééquilibrage et les mécanismes de comptabilité des LP, y compris des tests dans des scénarios adverses.
Limitation de la taille des transactions pouvant déclencher un rééquilibrage sensible.
Mise en œuvre d'un disjoncteur et surveillance en temps réel du glissement et des variations anormales dans les devis LP.
Utilisation de la temporisation pour les changements critiques et adoption des opérations multisig pour les fonctions administratives.
Création de fonds d'urgence ou de couverture d'assurance pour atténuer les impacts sur les utilisateurs.
Ces contre-mesures sont essentielles dans la gestion des risques DeFi.
Guide opérationnel pour les protocoles de liquidité
Exécution de tests de résistance et de simulations d'attaques économiques avant les sorties officielles.
Mise en œuvre de la limitation de taux sur les fonctions qui affectent la distribution.
Surveillance active des métriques d'alarme telles que le slippage, les variations des parts de LP et les flux inattendus vers les portefeuilles.
Mise à jour périodique des procédures de réponse aux incidents et des exercices pour valider leur efficacité.
Utilisation d'oracles fiables et introduction de garde-fous mathématiques pour prévenir les erreurs dans les calculs.
Prochaines étapes pour les utilisateurs et les développeurs
Utilisateurs : Surveillez les mises à jour officielles du protocole et vérifiez les journaux on-chain pour toute modification dans les pools affectés.
Développeurs : Terminez le post-mortem technique, publiez des correctifs temporaires et planifiez un audit indépendant axé sur la fonction de gestion de la liquidité et les calculs de LP.
Quoi surveiller
Hash de Tx et adresses confirmés sur l'explorateur comme Etherscan ou Blockscout pour une traçabilité complète.
Mises à jour sur la sortie des correctifs et le calendrier prévu pour la réactivation des contrats.
Rapports d'expertise des entreprises d'analyse de blockchain et résultats d'audit public.
Y a-t-il des programmes de récompense ou des accords pour le retour de fonds mal appropriés.
Conclusions
L'attaque contre Bunni montre comment les innovations dans la distribution de liquidité peuvent introduire de nouvelles surfaces d'attaque lorsque le mécanisme de rééquilibrage n'est pas suffisamment robuste.
La combinaison de la manipulation de la courbe et des erreurs dans les calculs de LP a permis de siphonner environ 2,3 à 2,4 millions de dollars en stablecoins.
Il faut dire que la priorité maintenant est de compléter une analyse post-incident transparente, de corriger la logique de gestion de la liquidité et d'introduire des contrôles défensifs plus rigoureux.
Numéros et adresses (résumé)
Montant estimé : environ 2,3 à 2,4 millions de dollars.
Token : USDC ( environ 1,33M ) et USDT ( environ 1,04M ).
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Bunni DEX sous attaque : environ 2,4 millions de stablecoins volés sur Ethereum, contrats p...
Une nouvelle attaque a frappé les fonds LP sur Ethereum : le protocole Bunni, spécialisé dans la gestion de la liquidité, a temporairement suspendu les contrats après un retrait anormal estimé entre environ 2,3 et 2,4 millions de dollars – comme l'a rapporté The Block et conformément aux risques analysés dans le rapport de sécurité OpenZeppelin. Les analyses initiales indiquent que l'exploitation pourrait avoir tiré parti d'une vulnérabilité dans la fonction de distribution de liquidité, altérant de manière inappropriée les parts LP.
Selon les données collectées par notre équipe d'analyse on-chain, mises à jour au 2 septembre 2025, les transactions suspectes présentent des schémas répétés et des transferts fractionnés vers plusieurs adresses, cohérents avec une attaque visant à exploiter le rééquilibrage. Nos vérifications croisées sur les explorateurs publics indiquent des retraits calibrés en USDC et USDT pour environ 1,33 million de dollars et 1,04 million de dollars respectivement. Les analystes de l'industrie notent que les vulnérabilités liées à la logique de rééquilibrage et aux oracles sont une cause récurrente dans les incidents récents de DeFi.
En bref : ce que nous savons jusqu'à présent sur le piratage de Bunni DEX
Qui : Bunni, protocole de gestion de liquidité sur Ethereum.
Quoi : Drainage de fonds des contrats intelligents et suspension opérationnelle en tant que mesure de sécurité préventive.
Dove : réseau Ethereum, avec des mouvements traçables sur la chaîne.
Quand : Événement détecté dans les jours précédant le 2 septembre 2025 ; les enquêtes sont toujours en cours.
Comment : Par la manipulation des mécanismes de rééquilibrage de liquidité, ce qui a conduit à des erreurs de calcul dans les parts de LP.
Chronologie des événements
Séquence essentielle
Détection de mouvements inhabituels dans les pools avec des stablecoins, en particulier USDC et USDT.
Communication officielle de l'équipe, confirmation de l'incident et suspension des contrats pour contenir les dommages.
Analyse préliminaire on-chain : pertes estimées entre environ 2,3 et 2,4 millions de dollars, avec des retraits répétés et des montants modulés.
Initiation des vérifications techniques sur la fonction de distribution de liquidité et le mécanisme de rééquilibrage.
Détails on-chain
Actifs affectés : stablecoin USDC ( environ 1,33 million de dollars ) et USDT ( environ 1,04 million de dollars ), qui convergent ensemble vers l'estimation des pertes totales.
Modèle : une série de transactions ciblées avec des montants calibrés pour forcer un rééquilibrage défavorable pour les LPs.
Adresses et hachages : examinés par diverses sociétés d'analyse de blockchain, bien que des références directes aux explorateurs n'aient pas encore été publiquement publiées.
Divers médias, y compris The Block et BitcoinEthereumNews, ont rapporté ces éléments, mettant en évidence des schémas répétés de transferts suspects dans les heures précédant la suspension des contrats.
Mécanique de la vulnérabilité
Comment fonctionne la distribution de liquidités
Bunni utilise une fonction de distribution de liquidité qui permet d'allouer des capitaux dans des plages de prix spécifiques, optimisant ainsi les rendements des LP grâce à un rééquilibrage induit par les transactions. L'objectif est de limiter l'inertie des fonds ; cependant, cette approche peut ouvrir de nouvelles surfaces d'attaque si la logique de rééquilibrage n'est pas suffisamment robuste.
Où le système est resté bloqué
Manipulation de la courbe par des opérations de trading ciblées et répétées.
Calcul des positions LP qui, après rééquilibrage, ont entraîné des parts incorrectes.
Drainage progressif des fonds, orchestré pour éviter l'activation des déclencheurs de défense automatiques.
En essence, une logique de rééquilibrage non résiliente a permis aux attaquants d'extraire de la valeur des LP sans déclencher immédiatement les mécanismes d'alerte. Un aspect intéressant est la modularité des montants, indicative d'une stratégie bien ajustée.
Impact et Chiffres
Perte estimée : environ 2,3 à 2,4 millions de dollars.
Tokens impliqués : USDC et USDT.
État opérationnel : les contrats ont été suspendus et les fonctions intelligentes sont actuellement arrêtées.
Point critique : le comptage des parts de LP et la gestion de la liquidité pendant les processus de rééquilibrage.
Réactions officielles et contexte
L'équipe Bunni a annoncé la suspension des contrats comme mesure de sécurité immédiate, précisant qu'une analyse post-incident est en cours pour identifier et corriger la vulnérabilité. Pour le moment, aucune citation directe ou déclaration officielle avec des horodatages vérifiables n'a été fournie ; les enquêtes sont en cours et la priorité reste de sécuriser les contrats et la liquidité restante.
Mesures d'atténuation
Audits en cours sur les fonctions de rééquilibrage et les mécanismes de comptabilité des LP, y compris des tests dans des scénarios adverses.
Limitation de la taille des transactions pouvant déclencher un rééquilibrage sensible.
Mise en œuvre d'un disjoncteur et surveillance en temps réel du glissement et des variations anormales dans les devis LP.
Utilisation de la temporisation pour les changements critiques et adoption des opérations multisig pour les fonctions administratives.
Création de fonds d'urgence ou de couverture d'assurance pour atténuer les impacts sur les utilisateurs.
Ces contre-mesures sont essentielles dans la gestion des risques DeFi.
Guide opérationnel pour les protocoles de liquidité
Exécution de tests de résistance et de simulations d'attaques économiques avant les sorties officielles.
Mise en œuvre de la limitation de taux sur les fonctions qui affectent la distribution.
Surveillance active des métriques d'alarme telles que le slippage, les variations des parts de LP et les flux inattendus vers les portefeuilles.
Mise à jour périodique des procédures de réponse aux incidents et des exercices pour valider leur efficacité.
Utilisation d'oracles fiables et introduction de garde-fous mathématiques pour prévenir les erreurs dans les calculs.
Prochaines étapes pour les utilisateurs et les développeurs
Utilisateurs : Surveillez les mises à jour officielles du protocole et vérifiez les journaux on-chain pour toute modification dans les pools affectés.
Développeurs : Terminez le post-mortem technique, publiez des correctifs temporaires et planifiez un audit indépendant axé sur la fonction de gestion de la liquidité et les calculs de LP.
Quoi surveiller
Hash de Tx et adresses confirmés sur l'explorateur comme Etherscan ou Blockscout pour une traçabilité complète.
Mises à jour sur la sortie des correctifs et le calendrier prévu pour la réactivation des contrats.
Rapports d'expertise des entreprises d'analyse de blockchain et résultats d'audit public.
Y a-t-il des programmes de récompense ou des accords pour le retour de fonds mal appropriés.
Conclusions
L'attaque contre Bunni montre comment les innovations dans la distribution de liquidité peuvent introduire de nouvelles surfaces d'attaque lorsque le mécanisme de rééquilibrage n'est pas suffisamment robuste.
La combinaison de la manipulation de la courbe et des erreurs dans les calculs de LP a permis de siphonner environ 2,3 à 2,4 millions de dollars en stablecoins.
Il faut dire que la priorité maintenant est de compléter une analyse post-incident transparente, de corriger la logique de gestion de la liquidité et d'introduire des contrôles défensifs plus rigoureux.
Numéros et adresses (résumé)
Montant estimé : environ 2,3 à 2,4 millions de dollars.
Token : USDC ( environ 1,33M ) et USDT ( environ 1,04M ).
Statut : contrats suspendus, enquêtes en cours.