Exploit de pont

292 M$ de rsETH non backé minté après exploitation du setup LayerZero 1-sur-1 DVN de KelpDAO ; le plus grand hack DeFi 2026, TVL en chute de 13 Md$.

1 Md de DOT bridgés mintés sur Hyperbridge après une vérification de bornes manquante dans VerifyProof ; perte réalisée ~2,5 M$.

4,3 M$ drainés du pont ioTube d'IoTeX via une compromission de clé validateur ; mint de 111M CIOTX et 9,3M CCS. IoTeX promet compensation à 100 %.

GriffinAI, projet crypto d'agents IA, a perdu ~3 M$ après qu'une faille bridge/mint a permis de minter des tokens GAIN non backés et de les dumper.

Une faille de contrôle d'accès a drainé 3,76 M$ du Force Bridge de Nervos sur Ethereum et BNB Chain ; le butin a été routé via Tornado Cash et FixedFloat.

Un bot MEV white-hat a drainé 12 M$ du pont Ronin via une faille d'init dans du code mort laissant minimumVoteWeight à zéro. Tous fonds restitués pour 500 K$.

Le groupe Lazarus (RPDC) a drainé 4,3 M$ du pont inter-chaînes Stacks d'ALEX Lab via une faille de vérification, retracée par le blanchiment on-chain.

~82 M$ drainés du pont cross-chain Orbit Chain le soir du Nouvel An après compromission de sept des dix signataires multi-sig ; pertes sur Ethereum et Klaytn.

~220 K$ drainés de HYPR Network après qu'une faille bridge/contrat a permis l'extraction de liquidité bridgée — petit échec de pont propre.

~2,6 M$ d'ETH bloqués ou en péril sur le pont Shibarium au lancement, après un contrat mal configuré et une surcharge de trafic rendant les fonds inaccessibles.

Une vérification Merkle défectueuse dans le pont BSC natif a permis de forger des retraits de 2 M BNB avant que les validateurs n'arrêtent la chaîne.

Une mise à niveau de routine a marqué le hash zéro comme racine valide, transformant chaque message Nomad en un retrait que n'importe qui pouvait copier-coller.

Lazarus a compromis 2 des 5 clés multi-sig opérateur du pont cross-chain de Harmony et drainé 100 M$ ; le quorum 2-sur-5 était sous-dimensionné.

Le pont Meter Passport a perdu 4,4 M$ : son gestionnaire de dépôt a accepté un montant de jeton enveloppé sans contrepartie, créant des BNB/ETH pontés.

Un contournement de vérification de signature côté Solana de Wormhole a laissé l'attaquant minter 120 000 wETH ex nihilo — adossés à aucune collatéral Ethereum.

Un attaquant a trompé le pont BSC de Qubit créant 77 162 qXETH (185 M$ nominal) sans déposer d'ETH, empruntant 206 809 BNB (80 M$).

13 M$+ drainés de THORChain en deux attaques séparées d'une semaine, exploitant des failles de faux dépôts dans le pont Ethereum Bifrost, peu après Chaosnet.

Une faille dans le pont Ethereum-BSC de ChainSwap a permis de minter 20+ tokens supportés ; 4 M$ drainés, tokens affectés chutant 95 %+.

Un attaquant a détecté un k réutilisé dans deux signatures BSC, recalculé la clé privée MPC d'Anyswap V3 et drainé 7,9 M$ de ses pools de routeur inter-chaînes.