Bunni DEX confirme sa fermeture après avoir perdu 8,4 millions de dollars lors d'une attaque en septembre

Dans un nouveau coup dur pour l'industrie de la finance décentralisée, Bunni a annoncé sa fermeture suite à une grave faille qui a interrompu ses opérations.

Bunni, l'échange décentralisé connu pour ses innovations en matière de liquidité, a officiellement fermé suite à une faille majeure qui a vidé plus de 8,4 millions de dollars de fonds utilisateurs.

La décision a été annoncée le 23 octobre via le compte X officiel du projet, où l'équipe a déclaré que le piratage avait stoppé la croissance et laissé le projet dans l'incapacité de financer une relance sécurisée. Cette fermeture marque la fin de l’un des échanges DeFi les plus ambitieux techniquement, construit sur les hooks Uniswap (UNI) V4.

Le piratage laisse le projet sans possibilité de se relever

L'attaque, qui a ciblé les smart contracts principaux Ethereum (ETH) et Unichain de Bunni, a eu lieu début septembre. Les attaquants ont exploité une vulnérabilité dans la fonction de distribution de liquidité du projet, une fonctionnalité conçue pour optimiser les rendements des fournisseurs de liquidité, leur permettant de retirer plus d'actifs que prévu grâce à la manipulation de flash loans et à des erreurs d'arrondi.

Environ 8,4 millions de dollars ont été siphonnés, principalement en USDC et USDT, avant que l'équipe ne gèle les opérations des contrats. Une récompense de 10 % a été proposée pour récupérer les fonds, mais l'attaquant n'a jamais répondu. Malgré des audits antérieurs par Trail of Bits et Cyfrin, le bug a été classé comme une « faille de logique » plutôt qu'une erreur d’implémentation.

Depuis la faille, la valeur totale verrouillée de Bunni est passée de plus de 60 millions de dollars à presque zéro, avec une activité de trading et de développement quasiment à l'arrêt.

Adieu open source et plan de compensation des utilisateurs

Dans sa déclaration de fermeture, l'équipe de Bunni a indiqué qu'il aurait fallu « six à sept chiffres » en coûts d'audit et de surveillance, ainsi que plusieurs mois de redéveloppement, pour reprendre les opérations en toute sécurité, une dépense qu'elle ne pouvait pas assumer.

Les utilisateurs pourront toujours retirer leurs fonds via le site web de Bunni jusqu'à nouvel ordre. Les actifs restants de la trésorerie seront distribués aux détenteurs de BUNNI, LIT et veBUNNI selon un snapshot une fois le processus légal terminé. Les membres de l'équipe seront exclus de la distribution.

En dernier geste, Bunni a changé la licence de ses smart contracts v2 de BUSL à MIT, rendant ses technologies, y compris les LDF, les frais de surcharge et le rééquilibrage autonome, librement accessibles à d'autres développeurs. L'équipe a indiqué qu'elle continue de collaborer avec les forces de l'ordre pour récupérer les fonds volés.

Cette fermeture s'ajoute à une année difficile pour la sécurité blockchain, avec plus de 3,1 milliards de dollars perdus dans des piratages et exploits jusqu'à présent en 2025.