Exploit du bridge Taiko par preuves falsifiées
Une clé de signature SGX divulguée dans le GitHub public de Taiko a permis de forger des preuves de bridge et de drainer environ 1,7 M$ du L1 Bridge et de l'ERC20Vault sur Ethereum.
Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.
Une clé de signature SGX divulguée dans le GitHub public de Taiko a permis de forger des preuves de bridge et de drainer environ 1,7 M$ du L1 Bridge et de l'ERC20Vault sur Ethereum.
Un contrat de pont défaillant a permis de forger des paquets IBC et de frapper des saTokens sans contrepartie, drainant environ 4,67 M$ d'actifs Axelar.
Un attaquant a soumis de fausses VAA de gardiens au TokenBridge d'Alephium (un fork de Wormhole), vidant environ 815 000 dollars d'actifs en garde depuis Ethereum et BNB Chain en sept minutes environ.
Gravity Bridge, le pont cross-chain Cosmos-Ethereum, a été vidé d'environ 5,4 millions de dollars après la compromission apparente des clés de signature de ses validateurs.
Le pont Verus-Ethereum a payé 11,58 M$ après un export Verus de seulement 0,02 VRSC — aucune vérification de liaison de valeur source/destination.
292 M$ de rsETH non backé minté après exploitation du setup LayerZero 1-sur-1 DVN de KelpDAO ; le plus grand hack DeFi 2026, TVL en chute de 13 Md$.
1 Md de DOT bridgés mintés sur Hyperbridge après une vérification de bornes manquante dans VerifyProof ; perte réalisée ~2,5 M$.
4,3 M$ drainés du pont ioTube d'IoTeX via une compromission de clé validateur ; mint de 111M CIOTX et 9,3M CCS. IoTeX promet compensation à 100 %.
GriffinAI, projet crypto d'agents IA, a perdu ~3 M$ après qu'une faille bridge/mint a permis de minter des tokens GAIN non backés et de les dumper.
Une faille de contrôle d'accès a drainé 3,76 M$ du Force Bridge de Nervos sur Ethereum et BNB Chain ; le butin a été routé via Tornado Cash et FixedFloat.
Un bot MEV white-hat a drainé 12 M$ du pont Ronin via une faille d'init dans du code mort laissant minimumVoteWeight à zéro. Tous fonds restitués pour 500 K$.
~82 M$ drainés du pont cross-chain Orbit Chain le soir du Nouvel An après compromission de sept des dix signataires multi-sig ; pertes sur Ethereum et Klaytn.
~220 K$ drainés de HYPR Network après qu'une faille bridge/contrat a permis l'extraction de liquidité bridgée — petit échec de pont propre.
~2,6 M$ d'ETH bloqués ou en péril sur le pont Shibarium au lancement, après un contrat mal configuré et une surcharge de trafic rendant les fonds inaccessibles.
Une mise à niveau de routine a marqué le hash zéro comme racine valide, transformant chaque message Nomad en un retrait que n'importe qui pouvait copier-coller.
Lazarus a compromis 2 des 5 clés multi-sig opérateur du pont cross-chain de Harmony et drainé 100 M$ ; le quorum 2-sur-5 était sous-dimensionné.
Un contournement de vérification de signature côté Solana de Wormhole a laissé l'attaquant minter 120 000 wETH ex nihilo — adossés à aucune collatéral Ethereum.
Un attaquant a trompé le pont BSC de Qubit créant 77 162 qXETH (185 M$ nominal) sans déposer d'ETH, empruntant 206 809 BNB (80 M$).
13 M$+ drainés de THORChain en deux attaques séparées d'une semaine, exploitant des failles de faux dépôts dans le pont Ethereum Bifrost, peu après Chaosnet.
Une faille dans le pont Ethereum-BSC de ChainSwap a permis de minter 20+ tokens supportés ; 4 M$ drainés, tokens affectés chutant 95 %+.
Un attaquant a détecté un k réutilisé dans deux signatures BSC, recalculé la clé privée MPC d'Anyswap V3 et drainé 7,9 M$ de ses pools de routeur inter-chaînes.