Veuillez noter que certains liens présents dans ce guide peuvent être des liens d'affiliation, mais que cela n'impacte pas l'objectivité de notre contenu. 
Le mois dernier, le protocole DEX Bunni a subi un hack qui lui a coûté 8,4 millions $. Le hacker a exploité une erreur d’arrondi du contrat intelligent pour emprunter des millions d’actifs et vider les caisses du protocole.
En l’absence de fonds suffisants pour garantir une reprise des activités dans des conditions plus sûres, le protocole a annoncé sa fermeture imminente. Une situation qui souligne encore une fois les dangers auxquels sont confrontés les projets DeFi.
Un hack dévastateur de 8,4 millions $
Le 2 septembre dernier, la plateforme d’échange décentralisée Bunni a perdu 8,4 millions $ environ. Le hacker a exploité une faiblesse de son contrat intelligent. Il a procédé à des prêts de sommes minuscules qui, selon les paramètres du contrat intelligent, créent une baisse de la liquidité disponible.
Ce type de failles dans les contrats intelligents ou les contrats de bridge des jetons n’est pas nouveau. Les hackers s’en servent pour vider les pools de liquidité des protocoles DEX. Ils peuvent miner des jetons en excès, faire des prêts sans garanties, et bien plus. C’est le même type d’attaque qui a exploité la logique du contrat intelligent de Balancer.
🚨 The Bunni app has been affected by a security exploit. As a precaution, we have paused all smart contract functions on all networks. Our team is actively investigating and will provide updates soon. Thank you for your patience.
— Bunni (@bunni_xyz) September 2, 2025
Les fonds ainsi subtilisés ont depuis été orientés vers Tornado Cash pour être blanchis. La plateforme Bunni a proposé une récompense de 10 % au hacker en cas de restitution des fonds. Cette offre est toutefois restée sans réponse.
À ce jour, les responsables de la plateforme indiquent collaborer avec les autorités afin de recouvrer les fonds volés. D’après des informations récentes, l’auteur du hack aurait déjà visé 14 autres protocoles.
Bunni met la clé sous la porte
Dans une publication sur X, le protocole a annoncé qu’il mettait la clé sous la porte. Compte tenu du manque de fonds, Bunni ne sera pas en mesure de procéder à l’audit de sécurité indispensable avant toute reprise. De même, une reprise d’activité impliquerait de mettre en place un système de suivi constant.
Dans son communiqué de presse, Bunni a expliqué que la plateforme ne disposait simplement pas des fonds nécessaires pour couvrir ces nouvelles dépenses de fonctionnement. De fait, le protocole fermera définitivement ses portes.
Ce n’est pas la première fois qu’une plateforme d’échange ou un protocole crypto a dû fermer après un hack. Hormis les dégâts financiers, la réputation des protocoles affectés peut être irrémédiablement détruite.
Hello everyone, it is with saddened hearts that we announce the shutdown of Bunni.
The recent exploit has forced Bunni's growth to a halt, and in order to securely relaunch we'd need to pay 6-7 figures in audit & monitoring expenses alone – requiring capital that we simply don't…
— Bunni (@bunni_xyz) October 23, 2025
En effet, même les projets les plus robustes peuvent être irrémédiablement impactés par des failles de sécurité. Et pour l’instant en DeFi, les filets de sécurité qui protègent d’un scénario catastrophe pour les protocoles et leurs utilisateurs ne sont pas tout à fait installés.
Quel sort pour les utilisateurs de Bunni ?
Tout d’abord, les utilisateurs de la plateforme seront toujours en mesure de retirer leurs actifs depuis le site web de Bunni. À priori, le hack n’avait affecté que deux pools de liquidité et les fonds des utilisateurs étaient encore à l’abri.
D’autre part, Bunni a indiqué que les actifs restants après les retraits seraient distribués aux supporters du projet. Notamment les crypto-enthousiastes qui détiennent des actifs associés : BUNNI, LIT et veBUNNI.
La distribution se fera sur la base d’une capture d’état et après validation du processus juridique. Afin de garantir l’équité et la transparence du processus, les membres du projet devraient être exclus de cette distribution.
