Deux incidents rappellent la fragilité opérationnelle du DeFi. D’un côté, Bunni a subi un exploit et a mis ses contrats en pause. De l’autre, un utilisateur de Venus a perdu des fonds après une approbation malveillante. L’heure est aux leçons concrètes.
Bunni : exploit confirmé, contrats en pause
Selon plusieurs sources, les pertes estimées varient entre ~2,4 M$ et 8,4 M$, selon le périmètre et les chaînes prises en compte. Bunni a confirmé l’incident et a activé un arrêt préventif des contrats le temps de l’enquête.
Concrètement, l’attaquant aurait manipulé la fonction de Liquidity Distribution Function (LDF), une mécanique maison liée à Uniswap v4, pour détourner des stablecoins. Toutefois, l’équipe indique mener une analyse post-mortem afin d’identifier la vulnérabilité exacte et sécuriser la reprise.
Par ailleurs, l’activité de l’exchange a nettement ralenti. D’après la page Bunni sur CoinGecko, les paires actives et les volumes fluctuent fortement après l’exploit, signe d’une prudence des fournisseurs de liquidité. Cela souligne l’importance d’un circuit de gel opérationnel.
Venus : un phishing par approbation qui coûte cher
Côté Venus, il ne s’agit pas d’une faille du protocole, mais d’un phishing. Un utilisateur a approuvé une transaction malveillante donnant au voleur la possibilité de drainer ses actifs tokenisés. D’abord évoquées à 27 M$, les pertes nettes ont été révisées à ~13,5 M$ en tenant compte de la dette de la position.
Update: we are in direct contact with the victim of the phishing attack, and the protocol will remain paused while we try to recover his funds.
Venus was not exploited, but we are committed to protecting our users. If the protocol resumes now, the hacker gets the user's funds. https://t.co/441ncPEbla
— Venus Protocol (@VenusProtocol) September 2, 2025
Ensuite, Venus a communiqué que les contrats restaient sûrs et que l’incident provenait d’autorisations accordées par l’utilisateur. En effet, ce type d’attaque exploite les token approvals persistantes ; une fois données, elles permettent des transferts sans nouvelle validation. Révoquer périodiquement ces droits est crucial.
Bonnes pratiques : réduire l’attaque de surface
D’abord, limitez les approvals illimitées. Préférez des plafonds de dépense, et révoquez régulièrement via des outils dédiés. Toutefois, vérifiez l’URL, le certificat et les artefacts du site avant toute interaction, surtout lors d’alertes pop-up. Ensuite, segmentez vos usages : un wallet “chaud” pour l’expérimentation, un wallet “froid” pour la trésorerie.
En effet, séparer les risques réduit l’impact d’une compromission. Un hardware wallet ajoute une validation physique indispensable. Par ailleurs, diversifiez les canaux d’annonce. Ne cliquez pas sur des liens reçus par DM ou airdrops opportunistes. Recherchez la nouvelle depuis le site officiel ou des sources d’autorité, puis accédez au protocole depuis vos favoris existants.
Autre réflexe : auditer vos apps et dépendances si vous développez. Notre alerte sur un paquet npm malveillant rappelle que la supply-chain logicielle est une porte d’entrée trop souvent négligée ; l’hygiène de build est une ligne Maginot.
Enfin, pour les LPs, surveillez la mécanique de gestion de liquidité des DEX et leurs hooks spécifiques. Les fonctions d’auto-répartition sophistiquées peuvent offrir du rendement, mais elles élargissent la surface d’attaque si leur logique est manipulable.
Sources
Sur le même sujet
- Alerte crypto – 1,6 M $ volés cette semaine par “address poisoning”
- 40 M$ dérobés sur GMX : un piratage massif secoue Arbitrum
- Les hackers frappent encore, plus de 2,4 Mds $ envolés depuis janvier
- Bitcoin Hyper : la nouvelle L2 avec des rendements de jalonnement parmi les plus élevés
- Bitcoin Hyper propulse Bitcoin vers l’avenir grâce au SVM
- $HYPER : des privilèges exclusifs pour les premiers investisseurs
Carte bancaire- Ethereum
- BNB
- Maxi Doge vit à 100x, un memecoin dopé au levier
- FOMO, adrénaline et gains massifs
- Plus musclé que Doge, plus rapide que Shib
- Ethereum
- BNB
- USDT
- +1 more
- Un projet mine-to-earn innovant et unique en son genre
- Recevez jusqu'à 22582% de récompense de staking
- Gagnez des airdrops et des bonus en meme coins pour les meilleurs mineurs
- Carte bancaire
- Ethereum
- USDT
- Un projet ambitieux et maintenant sur Solana
- La vente côté Solana reflète son prix ETH à 1:1, sans hausse de prix pendant la vente
- Un burn d’offre côté Ethereum pour maintenir le plafond total fixe de 200 milliards
- Ethereum
- USDT
- Carte bancaire
- Prévente ouverte et simple : tout le monde peut participer.
- Un token inspiré des plus grands indices financiers.
- Un nombre de tokens qui change jamais.
- Ethereum
- Carte bancaire
- USDT
- Un écosystème de trading complet, directement depuis Telegram.
- Des swaps plus rapides que ceux des bots.
- Les frais les plus bas du marché crypto.
- Carte bancaire
- Solana
- Ethereum
- Frais de transaction réduits au sein de l'écosystème BEST
- Accès exclusif aux premières préventes de jetons et aux nouveaux projets
- Participer à la gouvernance des jetons, en contrôlant la direction du projet
- Ethereum
- BNB
- USDT
- +1 more
- Plateforme premium de nouvelle génération dédiée à la création de contenu par intelligence artificielle
- Une portée mondiale avec plus de 250 millions d’abonnés cumulés
- Des récompenses exclusives pour les créateurs et les utilisateurs impliqués dans le staking
- BNB
- Carte bancaire
- Solana
- +1 more
- Investissez dès maintenant dans la prévente du projet qui va révolutionner les paiements via cryptomonnaies.
- Grâce à Space Pay, payez en cryptomonnaie et assurez-vous que les commerçants reçoivent leurs fonds dans leur propre devise.
- Le tout premier réseau décentralisé de paiement, l'équivalent de VISA et Mastercard dans le monde des cryptos.
- USDT
- Ethereum
Partager
