Attaque par flash loan

4,13 M$ extraits du pool Curve DUSD/USDC de Makina via manipulation d'oracle par prêt flash ; négociation white-hat a récupéré 89% en une semaine.

Zunami Protocol a perdu ~500 K$ dans un second incident, 2 ans après son exploit Curve 2023, à nouveau via tarification manipulable dans sa stratégie.

11 M$ drainés de l'assistant de migration Trove de Prisma : l'attaquant a contourné migrate() et appelé flashloan() directement, exigeant des excuses.

Un bug d'arrondi dans la comptabilité des Cauldrons d'Abracadabra a permis de drainer 6,5 M$ (2 740 ETH + 2,2 M MIM) en remboursant les dettes d'autrui.

Gamma Strategies sur Arbitrum a perdu 6,1 M$ : une faible vérification de prix a permis un dépôt à ratio déséquilibré et un retrait disproportionné.

2,1 M$ drainés de Zunami Protocol après que ses prix zETH et UZD, dérivés de pools Curve manipulables, ont été gonflés par un attaquant flash-loan.

7,5 M$ extraits de Jimbo's Protocol sur Arbitrum : un échec de slippage dans JimboController.shift() a permis un drainage par prêt flash.

8,5 M$ drainés de Platypus sur Avalanche via un exploit de prêt flash d'emergencyWithdraw(), permettant aux attaquants de retirer la garantie pré-remboursement.

Un prêt flash de 1 Md$ a acheté 67 % de la gouvernance Beanstalk en un bloc, faisant passer une proposition drainant le trésor. 76 M$ nets, 182 M$ perdus.

Une manipulation de prix yUSD par prêt flash a permis d'emprunter contre 1 Md$ de faux collatéral et drainer 130 M$ de Cream, son troisième exploit de 2021.

16 M$ drainés des pools index DEFI5 et CC10 via un exploit flash-loan ; l'attaquant ado a monté une défense « code is law » au Canada.

20,7 M$ drainés du pool Sorbetto Fragola de Popsicle : prêts flash et transferts de parts ont trompé le contrat lui faisant devoir des récompenses = TVL.

Wault Finance sur BNB Chain a perdu ~1 M$ : une manipulation flash-loan de la tarification WUSD/WEX a laissé l'attaquant mint et redeem à des taux biaisés.

Des prêts flash de 385 M$ ont manipulé une stratégie beltBUSD, faussant le calcul du prix par part pour extraire 6,23 M$ sur 50 M$ perdus.

Multiples exploits 2021 (~680 K$+) de Merlin Labs sur BNB Chain, un optimiseur dont la tarification stratégie/récompense a été manipulée via prêts flash.

Un prêt flash a manipulé le prix SHARK/BNB, gonflant la récompense mintée d'AutoShark et drainant ~745 K$ sur BSC, réplique quasi exacte de PancakeBunny.

45 M$ extraits de PancakeBunny quand un prêt flash de 704 M$ a manipulé l'oracle BUNNY/BNB et créé ~7 M BUNNY à partir de rien ; BUNNY a chuté 95% en minutes.

xToken a perdu 24 M$ : xSNXa et xBNTa tarifés depuis des pools manipulables ; un flash loan a laissé l'attaquant mint à bas prix et racheter le sous-jacent.

Spartan Protocol a perdu 30 M$ sur BSC via un calcul de parts LP défectueux, première grande attaque flash loan sur BSC et tournant pour sa DeFi.

Un prêt flash a manipulé les prix TRUNK/BUSD et ELEPHANT du mécanisme buy/sell d'Elephant Money sur BNB Chain, drainant environ 22 M$.

Une manipulation flash-loan du pricing gToken/stkToken de Growth DeFi a permis d'extraire ~1,3 M$ de réserves à taux déséquilibrés (« The Big Combo »).

Un contrat « spell » a exploité un arrondi de parts d'emprunt pour accumuler zéro part contre une dette cySUSD, drainant 37,5 M$ d'Alpha Homora / Iron Bank.

Le coffre yDAI de Yearn a perdu 11 M$ (gain net 2,8 M$) : une séquence flash-loan de 11 tx a biaisé le prix DAI du Curve 3pool. Tether a gelé 1,7 M$.

Warp Finance a perdu 7,8 M$ en valorisant la collatéral LP Uniswap depuis des réserves spot manipulables ; un flash loan a gonflé la valeur LP.

Le coffre MultiStables de Value DeFi a perdu 7 M$ via une manipulation flash-loan du prix du Curve 3pool — cas canonique précoce du pattern.

Trente boucles de manipulation du Curve YPool financées par un prêt flash de 50 M$ USDC ont extrait 24 M$ de Harvest Finance ; bank run de 570 M$.

Eminence d'Andre Cronje, non publié, a perdu 15 M$ via un exploit de bonding curve par prêt flash quelques heures après un teaser. 8 M$ ont été restitués.

La première attaque par prêt flash connue a drainé ~954 K$ de bZx deux fois en quatre jours, via des prêts Aave manipulant les oracles Uniswap.