En bref
- L'échange décentralisé BunniXYZ aurait perdu 8,4 millions de dollars suite à une exploitation de sécurité basée sur la liquidité.
- Le DEX a suspendu toute activité de smart contract sur son réseau et "enquête activement" sur l'attaque.
- Les pirates auraient manipulé la "courbe de liquidité" de Bunni, également connue sous le nom de LDF, pour réaliser l'exploitation.
L'échange décentralisé (DEX) BunniXYZ aurait perdu 8,4 millions de dollars suite à une exploitation de sécurité basée sur la liquidité.
Selon la société de sécurité on-chain Hacken, 6 millions de dollars des fonds du DEX ont été volés via la blockchain Unichain et 2,4 millions de dollars via Ethereum. Tous les fonds Unichain ont ensuite été transférés vers Ethereum en utilisant le protocole Across.
Confirmant l'attaque dans un tweet, BunniXYZ a déclaré avoir suspendu toute activité de Smart Contract (Contrat Intelligent) sur son réseau et "enquêter activement" sur les circonstances de l'attaque. Il a ajouté qu'il fournirait des mises à jour prochainement.
Fondé en février 2025, BunniXYZ est basé sur le market maker automatisé Uniswap v4, et utilise principalement les blockchains Ethereum et Unichain. Il dispose actuellement d'une valeur totale verrouillée (TVL) cross-chain d'un peu plus de 50 millions de dollars selon DeFiLlama, bien qu'elle ait dépassé 80 millions de dollars à un moment donné plus tôt en août.
Michael Bentley, co-fondateur du protocole de prêt Euler, a conseillé aux utilisateurs de retirer leurs fonds de Bunni dans un tweet, ajoutant que bien que le DEX rééquilibre les fonds entrant et sortant d'Euler, le protocole de prêt "n'est pas affecté ou à risque". Euler a subi une exploitation majeure en 2023 qui a vu des pirates voler près de 200 millions de dollars, dont la majeure partie a été récupérée plus tard.
Que s'est-il passé ?
Selon l'analyste on-chain Victor Tran, co-fondateur de Kyber Network, les pirates ont manipulé la "courbe de liquidité" de Bunni, également connue sous le nom de LDF (Liquidity Density Function). C'est le système qui calcule la quantité de liquidité supplémentaire existant dans l'échange et rééquilibre son pool de liquidité pour maintenir le bon ratio de tokens.
Tran a déclaré que les pirates ont manipulé ce LDF "en effectuant des transactions de tailles très spécifiques". Cela a provoqué une rupture dans le calcul de rééquilibrage, produisant des résultats incorrects quant à la quantité que chaque part du pool de liquidité devrait posséder.
En répétant ce processus, les pirates auraient retiré plus de tokens qu'ils n'auraient dû pouvoir le faire de Bunni.
Bunni lui-même n'a pas encore confirmé le mécanisme derrière l'attaque.
Newsletter Daily Debrief
Commencez chaque jour avec les principales actualités du moment, ainsi que des fonctionnalités originales, un podcast, des vidéos et plus encore.
Source: https://decrypt.co/337673/decentralized-exchange-bunnixyz-loses-8-4m-in-liquidity-exploit
