Un trader de Venus Protocol perd 30 millions de dollars suite à une erreur majeure, confirme Cyvers

Un incident dramatique sur Venus Protocol a entraîné la perte de près de 30 millions de dollars d’actifs.

Alors que beaucoup soupçonnaient initialement un piratage, les analystes en sécurité blockchain de Cyvers ont confirmé à BeInCrypto qu’il s’agissait d’une erreur du côté de l’utilisateur, et non d’une vulnérabilité du protocole lui-même.

Une arnaque de phishing coûte 30 millions de dollars à un utilisateur de Venus Protocol, il ne s’agit pas d’un piratage du protocole

PeckShield a été le premier à signaler l’activité suspecte, notant qu’un utilisateur de Venus Protocol s’était vu dérober environ 27 millions de dollars après avoir été victime d’une arnaque de phishing.

Un utilisateur de @VenusProtocol s’est fait dérober environ 27 millions de dollars en crypto après avoir succombé à une arnaque de phishing. La victime a approuvé une transaction malveillante, accordant l’autorisation de transfert de tokens à l’adresse de l’attaquant (0x7fd8…202a).

— PeckShieldAlert 2 septembre 2025

L’attaquant a obtenu l’accès en trompant la victime pour qu’elle approuve une transaction malveillante, ce qui lui a donné des permissions illimitées pour transférer des actifs depuis le portefeuille.

Les tokens volés comprenaient environ 19,8 millions de dollars en vUSDT, 7,15 millions de dollars en vUSDC, 146 000 dollars en vXRP, 22 000 dollars en vETH, et même 285 BTCB, représentant ce que les observateurs ont qualifié de « richesse générationnelle ».

L’analyste DeFi Ignas a également commenté, notant que Venus « a fonctionné comme prévu » et que l’incident provenait de l’exploitation par l’attaquant des autorisations préalablement approuvées depuis le portefeuille compromis.

« Une mauvaise approbation et boom — c’est fini. C’est le côté obscur de la DeFi : les approbations ouvertes sont puissantes, mais aussi mortelles si vous n’êtes pas prudent », a écrit l’analyste Crypto Jargon.

Ce sentiment a été partagé dans toute la communauté alors que les avertissements refaisaient surface. Les meilleures pratiques incluent la révocation régulière des autorisations, l’évitement des liens non vérifiés et l’utilisation de portefeuilles matériels plutôt que de compter uniquement sur des hot wallets.

Cyvers a confirmé cela dans une déclaration à BeInCrypto :

« Oui, il s’agit d’une erreur côté utilisateur, pas au niveau du protocole », a précisé Cyvers.

Les fonds volés restent non échangés, détenus à l’adresse du contrat de l’attaquant.

« Cet incident montre que même les utilisateurs DeFi expérimentés restent vulnérables à des schémas de phishing sophistiqués. En trompant la victime pour qu’elle accorde des autorisations de tokens, l’attaquant a pu vider 27 millions de dollars d’un Venus Protocol en une seule transaction », a déclaré Hakan Unal, Senior Security Operation Lead chez Cyvers.

Dans ce contexte, Unal a mis en garde les utilisateurs contre le fait de cliquer ou d’approuver quoi que ce soit sur des sites web inconnus, car les phishers imitent souvent les sites officiels et effectuent des modifications subtiles de domaine.

Interrogé sur les espoirs de récupération, l’expert en sécurité a indiqué que bien que les bug bounties soient une option, les services de mixage rendent la récupération des actifs presque impossible.

« Bien que les utilisateurs puissent proposer une bug bounty on-chain, dans la plupart des cas, les fonds volés finissent dans des mixers », a ajouté Unal.

Exploitation de Bunni DEX : 8,4 millions de dollars dérobés

Dans un autre incident, Bunni, un exchange décentralisé (DEX) construit sur Uniswap v4, a subi une exploitation qui a vidé plus de 8,4 millions de dollars sur Ethereum et UniChain.

Contrairement au cas de Venus, il s’agissait ici d’une véritable vulnérabilité au niveau du protocole.

Bunni a annoncé avoir suspendu toutes les fonctions de smart contracts sur l’ensemble des réseaux pendant que son équipe enquête :

« L’application Bunni a été affectée par une faille de sécurité. Par précaution, nous avons suspendu toutes les fonctions de smart contracts sur tous les réseaux », a confirmé le réseau.

Selon GoPlus Security, l’exploitation provenait de faiblesses dans la fonction personnalisée de distribution de liquidité (LDF) de Bunni.

Victor Tran, développeur blockchain, a expliqué comment l’attaquant a manipulé la courbe avec des transactions soigneusement dimensionnées.

1. Bunni est un liquidity hook qui fonctionne au-dessus d’UniswapV4. Au lieu d’utiliser le système normal d’UniswapV4, Bunni possède sa propre courbe de liquidité appelée LDF (Liquidity Distribution Function). 2. Après chaque transaction, Bunni vérifie si sa courbe LDF a changé depuis la dernière transaction. Si c’est le cas,…

— Victor Tran 2 septembre 2025

En déclenchant à plusieurs reprises des erreurs de calcul lors du rééquilibrage de la liquidité, l’exploiteur a pu retirer plus de tokens qu’il n’aurait dû, vidant les pools avant de finaliser l’attaque avec deux étapes de swap.

Tran a souligné que si le hook de Bunni a été compromis, Uniswap v4 lui-même n’a pas été affecté.

Les deux incidents mettent en lumière l’équilibre fragile entre innovation et sécurité dans la finance décentralisée (DeFi).

La perte de Venus Protocol met en avant l’élément humain, où un simple clic peut effacer des fortunes. Pendant ce temps, l’exploitation de Bunni révèle comment les défauts de précision de mécanismes innovants peuvent exposer la liquidité.

Sur un marché où des billions sont en jeu, une seule erreur, qu’elle soit humaine ou technique, peut s’avérer dévastatrice.

Ainsi, à mesure que le secteur DeFi se développe, l’éducation des utilisateurs et la rigueur des protocoles resteront essentielles.