Deux incidents rappellent la fragilité opérationnelle du DeFi. D’un côté, Bunni a subi un exploit et a mis ses contrats en pause. De l’autre, un utilisateur de Venus a perdu des fonds après une approbation malveillante. L’heure est aux leçons concrètes.
Bunni : exploit confirmé, contrats en pause
Selon plusieurs sources, les pertes estimées varient entre ~2,4 M$ et 8,4 M$, selon le périmètre et les chaînes prises en compte. Bunni a confirmé l’incident et a activé un arrêt préventif des contrats le temps de l’enquête.
Concrètement, l’attaquant aurait manipulé la fonction de Liquidity Distribution Function (LDF), une mécanique maison liée à Uniswap v4, pour détourner des stablecoins. Toutefois, l’équipe indique mener une analyse post-mortem afin d’identifier la vulnérabilité exacte et sécuriser la reprise.
Par ailleurs, l’activité de l’exchange a nettement ralenti. D’après la page Bunni sur CoinGecko, les paires actives et les volumes fluctuent fortement après l’exploit, signe d’une prudence des fournisseurs de liquidité. Cela souligne l’importance d’un circuit de gel opérationnel.
Venus : un phishing par approbation qui coûte cher
Côté Venus, il ne s’agit pas d’une faille du protocole, mais d’un phishing. Un utilisateur a approuvé une transaction malveillante donnant au voleur la possibilité de drainer ses actifs tokenisés. D’abord évoquées à 27 M$, les pertes nettes ont été révisées à ~13,5 M$ en tenant compte de la dette de la position.
Update: we are in direct contact with the victim of the phishing attack, and the protocol will remain paused while we try to recover his funds.
Venus was not exploited, but we are committed to protecting our users. If the protocol resumes now, the hacker gets the user's funds. https://t.co/441ncPEbla
— Venus Protocol (@VenusProtocol) September 2, 2025
Ensuite, Venus a communiqué que les contrats restaient sûrs et que l’incident provenait d’autorisations accordées par l’utilisateur. En effet, ce type d’attaque exploite les token approvals persistantes ; une fois données, elles permettent des transferts sans nouvelle validation. Révoquer périodiquement ces droits est crucial.
Bonnes pratiques : réduire l’attaque de surface
D’abord, limitez les approvals illimitées. Préférez des plafonds de dépense, et révoquez régulièrement via des outils dédiés. Toutefois, vérifiez l’URL, le certificat et les artefacts du site avant toute interaction, surtout lors d’alertes pop-up. Ensuite, segmentez vos usages : un wallet “chaud” pour l’expérimentation, un wallet “froid” pour la trésorerie.
En effet, séparer les risques réduit l’impact d’une compromission. Un hardware wallet ajoute une validation physique indispensable. Par ailleurs, diversifiez les canaux d’annonce. Ne cliquez pas sur des liens reçus par DM ou airdrops opportunistes. Recherchez la nouvelle depuis le site officiel ou des sources d’autorité, puis accédez au protocole depuis vos favoris existants.
Autre réflexe : auditer vos apps et dépendances si vous développez. Notre alerte sur un paquet npm malveillant rappelle que la supply-chain logicielle est une porte d’entrée trop souvent négligée ; l’hygiène de build est une ligne Maginot.
Enfin, pour les LPs, surveillez la mécanique de gestion de liquidité des DEX et leurs hooks spécifiques. Les fonctions d’auto-répartition sophistiquées peuvent offrir du rendement, mais elles élargissent la surface d’attaque si leur logique est manipulable.
Sources
Sur le même sujet
Partager
