Une bourse décentralisée qui avait rapidement grandi pour gérer près de $80 millions d'actifs bloqués a annoncé sa fermeture définitive cette semaine, devenant le deuxième projet crypto majeur à cesser ses opérations en 48 heures alors que les pressions financières et les vulnérabilités de sécurité continuent de tourmenter le secteur des actifs numériques.
Bunni, une bourse décentralisée construite sur la technologie Uniswap V4, a confirmé mercredi qu'elle ne peut pas se permettre les coûts de six à sept chiffres nécessaires pour relancer la plateforme en toute sécurité suite à une exploitation dévastatrice du 2 septembre qui a drainé $8,4 millions des pools de liquidité à travers Ethereum et le réseau layer-2 Unichain d'Uniswap.
Vulnérabilité de distribution de liquidité exploitée
L'attaque a ciblé une faille critique dans la fonction de distribution de liquidité propriétaire de Bunni, un mécanisme conçu pour optimiser les rendements des fournisseurs de liquidité en allouant dynamiquement le capital sur différentes gammes de prix. Les firmes de sécurité CertiK et Halborn ont retracé l'exploitation à des erreurs d'arrondi sophistiquées qui ont permis aux attaquants de manipuler les calculs internes via des attaques de prêts flash.
L'analyse post-mortem de Halborn a révélé que la vulnérabilité provenait d'une conséquence inattendue dans la fonction de retrait du protocole. Les développeurs avaient incorrectement supposé que l'arrondi d'une valeur clé à la baisse augmenterait les soldes inactifs, mais le contraire s'est produit - permettant aux attaquants de retirer des montants disproportionnés de jetons tout en brûlant une liquidité minimale.
Les hackers ont exécuté des transactions soigneusement calibrées en utilisant des montants spécifiques qui ont confondu les calculs de rééquilibrage de Bunni, drainant progressivement environ $2,4 millions d'Ethereum et $6 millions de l'Unichain avant de consolider les actifs volés - principalement des stablecoins USDC et USDT - dans des portefeuilles Ethereum.
Ascension météorique écourtée
La fermeture représente un renversement dramatique pour une plateforme qui avait connu une croissance explosive dans les mois précédant l'attaque. Selon les données de DeFiLlama, la valeur totale verrouillée de Bunni a bondi de seulement $2,23 millions à la mi-juin 2025 à près de $80 millions au 19 août - une augmentation de 35 fois qui soulignait l'appétit du marché pour sa technologie innovante de créateur de marché automatisé.
La plateforme avait subi des audits de sécurité par des firmes respectées incluant Trail of Bits et Cyfrin.
Cependant, il reste incertain si la vulnérabilité exploitée a été identifiée lors de ces revues ou introduite à travers des changements de code subséquents - un risque commun dans les protocoles DeFi en rapide évolution où les équipes mettent fréquemment à jour les contrats intelligents pour ajouter des fonctionnalités ou optimiser les performances.
Coûts de récupération prohibitifs
Dans leur annonce de fermeture, l'équipe de Bunni a expliqué que relancer les opérations en toute sécurité nécessiterait un investissement substantiel dans des audits de sécurité complets, une infrastructure de surveillance continue, et des mois de travail de développement commercial pour reconstruire la confiance des utilisateurs et restaurer la liquidité.
"L'exploitation récente a forcé la croissance de Bunni à s'arrêter, et pour relancer en toute sécurité, nous devrions payer 6 à 7 chiffres en dépenses d'audit et de surveillance - nécessitant un capital que nous n'avons tout simplement pas," a déclaré l'équipe dans leur post sur X. "C'est avec des cœurs attristés que nous annonçons la fermeture de Bunni."
Selon le rapport post-mortem de Bunni, les actifs volés ont déjà été blanchis via Tornado Cash, compliquant considérablement les efforts de récupération. L'équipe a offert aux attaquants une prime de 10% pour retourner les fonds restants tout en continuant de coopérer avec les agences de law enforcement.
Retraits de fonds des utilisateurs et distribution du trésor
Malgré la fermeture, Bunni a confirmé que les utilisateurs peuvent toujours retirer leurs actifs restants via le site officiel jusqu'à nouvel ordre. Le projet prévoit de distribuer les fonds restants du trésor aux détenteurs de jetons BUNNI, LIT, et veBUNNI sur la base d'un snapshot qui exclura les membres de l'équipe - assurant ainsi que les membres de la communauté plutôt que les initiés reçoivent toute valeur résiduelle.
Dans un dernier geste envers l'écosystème DeFi au sens large, Bunni a changé la licence de ses contrats intelligents V2 de la licence restrictive Business Source License à la licence open-source permissive MIT.
Cette décision rend les innovations de la plateforme - y compris les fonctions de distribution de liquidité, les frais de surtension, et les mécanismes de rééquilibrage autonomes - librement disponibles pour que d'autres développeurs les intègrent et construisent dessus.
Deuxième fermeture de DeFi en 48 heures
La fermeture de Bunni est survenue un jour seulement après qu'une autre sortie de projet significative ait secoué le secteur des cryptomonnaies. La Fondation Kadena a annoncé mardi qu'elle cesserait immédiatement toutes les opérations commerciales et arrêterait de maintenir le réseau blockchain Kadena, invoquant des conditions de marché défavorables qui ont rendu le développement continu insoutenable.
Fondée par les anciens ingénieurs blockchain de JPMorgan Stuart Popejoy et Will Martino, Kadena a été lancée en 2019 comme une alternative proof-of-work à Ethereum, promettant une évolutivité de niveau entreprise à travers une architecture multichaîne unique "tressée". À son apogée en novembre 2021, KDA s'échangeait au-dessus de $27 et le projet atteignait une valorisation dépassant $4 milliards.
Cependant, le jeton natif KDA s'est effondré de plus de 60% - passant d'environ $0.23 à moins de $0.10 - en 90 minutes après l'annonce de la fermeture, effaçant près de $268 millions de capitalisation boursière. Le jeton a maintenant chuté de plus de 99% par rapport à son sommet historique, s'échangeant à environ $0.085 au moment de la rédaction.
Bien que la blockchain Kadena continuera d'opérer à travers des mineurs indépendants et les développeurs communautaires - avec 566 millions de KDA restant alloués pour les récompenses de minage jusqu'en 2139 - la perte de l'équipe de développement principale laisse effectivement l'avenir du réseau incertain.
Crise de sécurité plus large
Les fermetures successives soulignent les pressions croissantes auxquelles sont confrontés les projets blockchain plus petits dans un contexte de conditions de marché difficiles et de menaces de sécurité implacables. L'attaque Bunni s'inscrit dans un schéma préoccupant d'exploitations de DeFi, avec le seul mois d'août 2025 ayant vu plus de $163 millions volés à travers 16 incidents distincts - une augmentation de 15% par rapport au mois précédent.
L'industrie des cryptomonnaies a perdu plus de $300 millions à cause des piratages et des arnaques au cours des deux derniers mois, avec le secteur DeFi subissant des pertes disproportionnées. Les experts en sécurité notent que les attaquants deviennent de plus en plus sophistiqués, ciblant souvent des protocoles plus récents avec des mécanismes personnalisés complexes qui créent des surfaces d'attaque absentes des implémentations standard éprouvées.
Pour l'écosystème DeFi au sens large, ces fermetures servent de rappels sobres que l'innovation technique seule ne peut garantir la survie. Les projets doivent équilibrer un développement ambitieux de caractéristiques avec des pratiques de sécurité rigoureuses, maintenir des réserves financières adéquates pour les crises imprévues, et naviguer dans un paysage de plus en plus compétitif où la confiance des utilisateurs - une fois perdue - s'avère extraordinairement difficile à reconstruire.