Crypto-hacks : jusqu’à 35 M$ envolés sur BunnyXYZ et Venus, la sécurité DeFi en crise

En moins de 24 heures, ce sont deux attaques qui ont secoué la DeFi. BunnyXYZ a perdu environ 8,4 M$ suite à un bug exploité, et Venus Protocol a suspendu sa plateforme après un phishing estimé d’abord à 27M$ puis révisé à 13,5M$. Au total, jusqu’à 35 M$ se seraient envolés. Un nouvel épisode d’un été déjà marqué par le vol de 163 M$ en août répartis sur 16 attaques.

Le bug de BunnyXYZ

DEX basé sur Uniswap v4, BunnyXYZ a été attaqué via sa Liquidity Distribution Function. Les hackers ont manipulé la logique de répartition, ce qui a mené à des sorties anormalement élevées. On estime les pertes totales à 8,4 M$.

Les pertes sont réparties entre Unichain (environ 6 M$) et Ethereum (environ 2,4 M$). En conséquence, la plateforme a ouvert une enquête et a mis en pause tous les smart contracts. Au moment de l’incident, la valeur totale verrouillée s’élevait à environ 50 M$ cross-chain.

Venus Protocol : le phishing d’une baleine

Dans le cas de Venus Procotol, un utilisateur a approuvé une transaction malveillante accordant des permissions illimitées. Résultat : des pertes estimées à environ 13,5 M$. Les premiers titres affichaient des pertes de 27M$, puis une correction a eu lieu après prise en compte de la dette de l’utilisateur.

Les principaux actifs affectés sont des wrappers tels que vUSDC et vETH. Par précaution, Venus a mis en pause le protocole et a communiqué sur la sécurité des contrats. Dans la foulée, XVS a reculé de -6%. La date de réouverture n’est pas encore connue à ce jour.

#PeckShieldAlert A user of @VenusProtocol has been drained ~$27M in crypto after falling for a #phishing scam.
The victim approved a malicious transaction, granting token approval to the attacker's address (0x7fd8…202a) for asset transfer. pic.twitter.com/NwkVlDxxOZ

— PeckShieldAlert (@PeckShieldAlert) September 2, 2025

La sécurité DeFi sous pression : le vrai problème

Ces deux affaires montrent en réalité une tendance plus large, celle de la montée des attaques hors contrat qui contournent les audits. En août, on dénombre 16 incidents pour environ 163 M$ perdus. Un chiffre en hausse de +15% par rapport au mois de juillet.

L’occasion pour la Defi de tirer certaines leçons. Parmi elles, limiter les token approvals et révoquer régulièrement et ne pas signer depuis des front-ends non vérifiés. De la même manière, on évitera les erreurs de précision sur les protocoles et on insistera sur l’importance des pauses d’urgence.

Best Wallet : la solution sécurisée

Alors que les attaques et autres tentatives de phishing se font de plus en plus nombreuses, s’équiper d’un portefeuille sécurisé est essentiel. Best Wallet en est un très bon exemple : l’outil offre un bel équilibre entre sécurité et conformité, plutôt que de chercher la performance seule.

Face aux faiblesses de la DeFi « ouverte », certains utilisateurs privilégient des environnements plus fermés et contrôlés. Best Wallet propose une gestion multi-actifs, un suivi en temps réel et surtout une sécurité pensée pour durer. Pas de gadgets mais une infrastructure capable de rassurer autant un particulier qu’un gestionnaire institutionnel. La tendance est à la protection.

Les crypto-actifs représentent un investissement risqué.

---

Les informations présentées dans cet article ne constituent en aucun cas un conseil en investissement. Elles sont fournies à des fins exclusivement informatives. Le marché des crypto-actifs demeure hautement volatil et comporte des risques significatifs de pertes. Il est recommandé aux lecteurs de n’investir que les montants qu’ils peuvent se permettre de perdre, et de procéder à leurs propres recherches avant toute prise de position sur les marchés.

---

Pour aller plus loin sur le sujet :

• Les Hackers à l’offensive : 163 M$ dérobés en août 2025
• Alerte sur l’ETH : attention au bear trap ?
• Pourquoi Binance et Tether surveillent de près la Corée du Sud ?